恶意npm软件包旨在针对开发人员窃取源代码

一个未知的威胁参与者正在利用恶意npm包来攻击开发人员，目的是从受害计算机窃取源代码和配置文件，这表明威胁如何始终潜伏在开源存储库中。

软件供应链安全公司 Checkmarx在与 The Hacker News 分享的一份报告中表示：“此次活动背后的威胁行为者与 2021 年以来的恶意活动有关。” “此后，他们不断发布恶意软件包。”

最新报告是Phylum 在本月初披露的同一活动的延续，其中设计了许多 npm 模块，以将有价值的信息泄露到远程服务器。

根据设计，这些包被配置为通过 package.json 文件中定义的 postinstall 挂钩在安装后立即执行。它触发 preinstall.js 的启动，从而生成 index.js 来捕获系统元数据以及从特定目录获取源代码和机密。

脚本创建数据的 ZIP 存档并将其传输到预定义的 FTP 服务器，从而使攻击达到高潮。

连接所有包的一个共同特征是在 package.json 文件中使用“lexi2”作为作者，这使得 Checkmarx 能够追溯到 2021 年的活动起源。

虽然该活动的具体目标尚不清楚，但使用 binarium-client、binarium-crm 和 Rocketrefer 等软件包名称表明该活动针对的是加密货币领域。

安全研究员 Yehuda Gelb 表示：“加密货币行业仍然是一个热门目标，重要的是要认识到，我们不仅要应对恶意软件包，还要应对顽固的对手，他们持续而精心策划的攻击可以追溯到几个月甚至几年前。”

本文来源于Lonely Blog -全球网络安全资讯平台, 转载请注明出处： https://blog.wuhao13.xin/7866.html