流行的开源软件包中发现了加密货币挖矿木马

一系列针对流行开源软件包的攻击事件被发现，暴露出广泛使用的软件工具中恶意代码渗透的风险越来越大。

攻击者在与 rspack（JavaScript 打包程序）和 vant（用于移动 Web 应用的 Vue UI 库）关联的软件包中植入了加密货币挖矿恶意软件。这些工具每周从主流软件包管理器 npm 下载量达数十万次。

据 rspack 维护人员称，本次供应链攻击由 ReversingLabs 的安全研究人员发现，影响 @rspack/core 和 @rspack/cli 版本 1.1.7。这些版本已被迅速删除并替换为干净版本（1.1.8）。

同样，vant 的受感染版本（从 2.13.3 到 4.9.14）也已通过软件更新（版本 4.9.15）进行了修补。这些软件包中使用的恶意代码包括 XMRig 门罗币挖矿木马，这是近期供应链攻击中反复出现的工具。

一系列开源威胁

这些事件是开源软件入侵趋势的一部分。就在几周前，攻击者瞄准了@lottiefiles/lottie-player，这是一个每周下载量超过 100,000 次的动画插件，嵌入了窃取加密钱包的恶意软件。另一次对Solana 区块链库 的攻击危及了用户钱包，而ultralytics Python 包则被利用来分发 XMRig 加密矿工。

ReversingLabs 解释说，rspack 和 vant 漏洞源于被盗的 npm 令牌，攻击者借此上传了受污染的版本。在 ultralytics 案例中，GitHub Actions Script Injection 和被盗的 PyPI API 令牌促成了攻击。每起事件都显示出一些明显的迹象，例如混淆的代码和与外部服务器的未经授权的通信。

发现并预防攻击

差异分析在发现这些漏洞方面发挥了关键作用。通过比较干净版本和恶意版本，研究人员检测到了新文件、混淆的 JavaScript 和可疑的外部 URL。

ReversingLabs 软件威胁研究员 Lucija Valentić 表示：“通过对两个版本的软件进行差异分析，差异策略可以检测已知软件供应链攻击的行为和特征变化，从而可能在攻击发生之前避免它们。”

差异分析只是对抗此类攻击的几种方法之一。其他方法包括实施严格的访问控制以防止未经授权的更改、定期扫描软件依赖项以查找漏洞以及使用自动化工具监视软件包更新中的可疑行为。

新闻链接：

https://www.infosecurity-magazine.com/news/cryptomining-malware-opensource/

讲述普通人能听懂的安全故事