朝鲜黑客涉嫌参与新一波恶意 npm 软件包

npm 包注册表已成为另一个高度针对性的攻击活动的目标，该攻击活动旨在诱使开发人员下载恶意模块。

软件供应链安全公司 Phylum 告诉《黑客新闻》，此次活动表现出与6 月份发现的上一波攻击类似的行为，该攻击后来被认为与朝鲜威胁行为者有关。

2023 年 8 月 9 日至 12 日期间，多达 9 个软件包已被确定上传到 npm。其中包括：ws-paso-jssdk、pingan-vue-floating、srm-f​​ront-util、cloud-room-video、progress-player 、ynf-core-loader、ynf-core-renderer、ynf-dx-scripts 和 ynf-dx-webpack-plugins。

该公司表示：“由于攻击的复杂性和受影响的软件包数量较少，我们怀疑这是另一次高度针对性的攻击，可能涉及社会工程方面，以便让目标安装这些软件包。”

攻击链从 package.json 文件开始，该文件带有一个 postinstall 钩子，该钩子在包安装时执行一个 index.js 文件。后者使用合法的pm2 模块作为依赖项来启动守护进程，该守护进程又执行另一个名为 app.js 的 JavaScript 文件。

JavaScript 代码旨在启动与远程服务器的加密双向通信 – “ql.rustdesk[.]net”，这是一个伪装成合法 RustDesk 远程桌面软件的欺骗域 – 在安装包后 45 秒并传输基本信息关于受感染的主机。

然后，恶意软件每 45 秒 ping 一次并等待进一步的指令，随后解码并执行这些指令。

Phylum 研究团队表示：“看来另一边的攻击者正在监视机器 GUID，并有选择地向任何感兴趣的机器发出额外的有效负载（以加密的 Javascript 形式）。”

该开发是在 npm 上发现一个流行的以太坊包的拼写错误版本之后进行的，该包被设计为向中国服务器（包含用户加密密钥的“wallet.cba123[.]cn”）发出 HTTP 请求。

更重要的是，广受欢迎的 NuGet 软件包Moq上周发布的新版本 4.20.0 和 4.20.1 带来了一个名为 SponsorLink 的新依赖项，该依赖项可以从本地 Git 配置并在他们不知情或同意的情况下将其发送到云服务。

这些引发 GDPR 合规性问题的有争议的更改已在 4.20.2 版本中回滚。但损害可能已经造成，正如 Bleeping Computer报道的那样，亚马逊网络服务 (AWS) 已撤回与该项目的关联。

Checkmarx 研究员 Jossef Harush表示：“在我看来，作者无意造成任何伤害，但最终损害了用户的信任。” “如果在发布新的更改并接受用户的内容之前开放讨论，这种情况本来可以避免。”

调查结果发布之际，组织越来越容易受到依赖混淆攻击，这可能导致开发人员无意中将易受攻击或恶意代码引入到他们的项目中，从而有效地导致大规模的供应链攻击。

为了缓解依赖混淆攻击，建议在组织范围内发布内部包，并在公共注册表中保留内部包名称作为占位符，以防止滥用。

本文来源于Lonely Blog -全球网络安全资讯平台, 转载请注明出处： https://blog.wuhao13.xin/7744.html