恶意Rust库被发现将操作系统信息传输到Telegram频道

开发人员继续成为​​软件供应链攻击目标的另一个迹象是，在 Rust 编程语言的 crate 注册表中发现了许多恶意软件包。

Phylum在上周发布的一份报告中表示，这些库于 2023 年 8 月 14 日至 16 日期间上传，由名为“amaperf”的用户发布。现已删除的软件包名称如下：postgress、if-cfg、xrvrv、serd、oncecell、lazystatic 和 envlogger。

目前尚不清楚该活动的最终目标是什么，但发现可疑模块具有捕获操作系统信息（即 Windows、Linux、macOS 或未知）并将数据传输到硬编码 Telegram 通道的功能通过消息传递平台的 API。

这表明该活动可能还处于早期阶段，威胁行为者可能已经撒下了广泛的网络，以危害尽可能多的开发计算机，以提供具有改进的数据泄露能力的恶意更新。

该公司表示：“通过访问 SSH 密钥、生产基础设施和公司 IP，开发人员现在是一个极其有价值的目标。”

这并不是 crates.io 第一次成为供应链攻击的目标。2022 年 5 月，SentinelOne 发现了一项名为CrateDepression的活动，该活动利用拼写错误技术窃取敏感信息并下载任意文件。

此次披露之际，Phylum 还披露了一个名为emails-helper的 npm 软件包，该软件包一旦安装，就会建立一个回调机制，将机器信息泄露到远程服务器，并启动作为复杂攻击的一部分附带的加密二进制文件。

该模块被宣传为“根据不同格式验证电子邮件地址的 JavaScript 库”，已被 npm 下架，但自 2023 年 8 月 24 日上传到存储库以来，该模块吸引了 707 次下载。

该公司表示：“通过 HTTP 尝试进行数据泄露，如果失败，攻击者将恢复通过 DNS 泄露数据。” “这些二进制文件部署了dnscat2、mettle和 Cobalt Strike Beacon 等渗透测试工具。”

“像运行 npm install 这样的简单操作就可以引发这个复杂的攻击链，因此开发人员在进行软件开发活动时必须谨慎行事并进行尽职调查。”

Python 包索引 (PyPI) 上也发现了恶意包，这些包试图从受感染的系统中窃取敏感信息，并从远程服务器下载未知的第二阶段有效负载。

本文来源于Lonely Blog -全球网络安全资讯平台, 转载请注明出处： https://blog.wuhao13.xin/7857.html