网络安全领域出现新型攻击手法:攻击者通过精心设计的混淆技术,将恶意代码隐藏在单个可见字符中,利用谷歌日历(Google Calendar)邀请函传播恶意软件。
隐蔽的Unicode字符藏匿恶意代码
2025年3月,Aikido安全研究人员发现名为"os-info-checker-es6"的可疑npm软件包。该软件包表面用于检查系统信息,实则暗藏恶意代码。
单个字符中的恶意载荷
研究人员在分析报告中指出:"最令人震惊的是,看似普通的竖线符号'|'实际上包含不可见的Unicode私有区(PUA)字符。"这些Unicode保留字符本质不可打印,成为隐藏恶意代码的理想载体。解码后,该字符会转换为base64编码指令,最终连接至谷歌日历实施命令控制。
日历邀请函成为攻击媒介
调查显示,恶意软件通过谷歌日历邀请链接获取攻击载荷。邀请函中的base64编码字符串经解码后,会将受害者引导至攻击者控制的服务器。
解码后的负载最初看起来无害,仅记录console.log('Check')。但更深层次的分析揭示了更险恶的意图。
该软件包的1.0.8版本包含一个隐藏的编排脚本。虽然经过混淆,但这个脚本会解码并执行通过两阶段过程交付的额外JavaScript负载:
- 第一阶段
:获取托管在https://calendar.app.google/t56nfUUcugH9ZUkx9的页面——这是一个合法的谷歌日历邀请,在事件标题中包含base64编码的字符串 - 第二阶段
:解码该字符串以从外部服务器(如http://140.82.54[.]223/2VqhA0lcH6ttO5XZEcFnEA==)获取真正的恶意负载
谷歌云端硬盘链接
网络安全专家查理·埃里克森表示:"这种攻击手段的演变令人担忧。攻击者利用用户普遍信任的谷歌日历平台,成功绕过了传统电子邮件安全机制。"Check Point研究团队也发现同类攻击,攻击者通过篡改邮件标头,使恶意邮件伪装成谷歌日历直接发送的通知。
多款npm软件包遭波及
攻击者并未止步于单个软件包。安全人员发现以下npm软件包均采用相同技术植入恶意依赖项:
-
skip-tot -
vue-dev-serverr -
vue-dummyy -
vue-bit
这些软件包均将恶意模块"os-info-checker-es6"添加为依赖项,从而扩大攻击面。
防护建议
谷歌公司已确认该威胁,建议用户在日历设置中启用"仅接收已知联系人邀请"功能。安全专家补充建议:
-
警惕突发性日历邀请,特别是远期预约事件 -
接受邀请或点击链接前验证发送方身份 -
保持软件更新以修补安全漏洞 -
通过谷歌日历举报功能标记可疑邀请
此次攻击表明,网络犯罪分子正不断开发新型攻击载体,通过滥用可信平台与高级混淆技术实施攻击。将恶意代码隐藏在单个字符中,并利用谷歌日历作为传播渠道,这种新型攻击手段可能危及个人用户与企业组织的安全。
参考来源:
Weaponized Google Calendar Invites Delivers Malicious Payload With Just One Character
https://www.freebuf.com/articles/web/431121.html
原文始发于微信公众号(船山信安):黑客必刷的23个网安攻防靶场
- 左青龙
- 微信扫一扫
-
- 右白虎
- 微信扫一扫
-
评论