![图片[1]安全114-安全在线-安全壹壹肆-网络安全黄页-网络安全百科超 70 个恶意 npm 与 VS Code 扩展被曝:窃取数据与加密货币钱包](https://www.anquan114.com/wp-content/uploads/2024/04/20240407181249787-image-1024x353.png)
npm软件包注册表中发现多达60个恶意软件包,这些软件包具有收集主机名、IP地址、DNS服务器和用户目录至Discord控制端点的恶意功能。软件供应链安全公司Socket的研究员基里尔·博伊琴科在上周发布的报告中表示,这些由三个不同账户发布的软件包包含在npm安装期间触发的安装时脚本。这些库已被累计下载超过3,000次。
该公司表示:“该脚本针对Windows、macOS或Linux系统,并包含基本的沙箱逃逸检查,使得每个受感染的工作站或持续集成节点都成为有价值侦察信息的潜在来源。”三个账户的名称如下,每个账户在11天内发布了20个软件包,这些账户现已不存在于npm上:
bbbb335656
cdsfdfafd1232436437
sdsds656565
根据Socket的说法,该恶意代码明确设计用于对每台安装该软件包的机器进行指纹识别,同时在检测到运行于与亚马逊、谷歌等相关的虚拟化环境时中止执行。收集的信息(包括主机详细信息、系统DNS服务器、网络接口卡(NIC)信息以及内部和外部IP地址)随后被传输至Discord网络钩子。
“通过收集内部和外部IP地址、DNS服务器、用户名和项目路径,它使威胁行为者能够绘制网络图并识别未来活动的高价值目标,”博伊琴科表示。
该披露紧随另一组八个npm软件包之后,这些软件包伪装成React、Vue.js、Vite、Node.js和开源Quill Editor等广泛使用的JavaScript框架的辅助库,但在安装后部署破坏性有效载荷。它们已被下载超过6,200次,目前仍可从仓库下载:
vite-plugin-vue-extend
quill-image-downloader
js-hood
js-bomb
vue-plugin-bomb
vite-plugin-bomb
vite-plugin-bomb-extend
vite-plugin-react-extend
“这些软件包伪装成合法插件和实用程序,同时秘密包含旨在破坏数据、删除关键文件和崩溃系统的破坏性有效载荷,却未被检测到,”Socket安全研究员库什·潘迪亚表示。已发现部分软件包在开发人员于项目中调用时会自动执行,实现与Vue.js、React和Vite相关文件的递归删除。其他软件包则设计用于破坏基本JavaScript方法或篡改localStorage、sessionStorage和cookie等浏览器存储机制。
值得注意的另一个软件包是js-bomb,它不仅删除Vue.js框架文件,还会根据执行时的当前时间发起系统关机。该活动被追踪至名为xuxingfeng的威胁行为者,其还发布了五个正常运行的合法非恶意软件包。部分恶意软件包发布于2023年。“这种同时发布有害和有益软件包的双重策略营造了合法性表象,使得恶意软件包更可能被信任和安装,”潘迪亚表示。
这些发现还紧随一项新型攻击活动的披露,该活动将传统电子邮件钓鱼与作为恶意npm软件包(伪装成良性开源库)组成部分的JavaScript代码相结合。“一旦建立通信,该软件包就会加载并交付第二阶段脚本,该脚本使用受害者的电子邮件地址定制钓鱼链接,将其引导至旨在窃取其凭证的伪造Office 365登录页面,”Fortra研究员伊斯雷尔·塞尔达表示。
攻击的起点是包含恶意.HTM文件的钓鱼邮件,该文件包含托管在jsDelivr并与现已删除的名为citiycar8的npm软件包相关联的加密JavaScript代码。安装后,嵌入在软件包中的JavaScript有效载荷被用于发起URL重定向链,最终将用户引导至旨在捕获其凭证的虚假登录页面。
“这次钓鱼攻击展现了高度复杂性,威胁行为者将AES加密、通过CDN交付的npm软件包和多次重定向等技术相链接以掩盖其恶意意图,”塞尔达表示。“此次攻击不仅说明了攻击者试图逃避检测的创造性方式,还突显了在不断演变的网络安全威胁环境中保持警惕的重要性。”
滥用开源存储库进行恶意软件分发已成为大规模实施供应链攻击的成熟方法。最近几周,微软Visual Studio Code(VS Code)市场中也发现了恶意数据窃取扩展程序,这些扩展程序旨在通过针对Windows上的Solidity开发者来窃取加密货币钱包凭证。
Datadog安全研究团队将该活动归因于其追踪为MUT-9332的威胁行为者。扩展程序名称如下:
solaibot
among-eth
blankebesxstnion
“这些扩展程序伪装成合法程序,在真实功能中隐藏有害代码,并使用与Solidity相关且通常不会被标记为恶意的命令控制域,”Datadog研究人员表示。“所有三个扩展程序都采用了涉及多阶段混淆恶意软件的复杂感染链,其中一个扩展程序使用了隐藏在互联网档案馆托管图像文件中的有效载荷。”
具体而言,这些扩展程序被宣传为Solidity开发者提供语法扫描和漏洞检测功能。虽然它们提供真实功能,但这些扩展程序也设计用于交付窃取受害者Windows系统加密货币钱包凭证的恶意有效载荷。这三个扩展程序现已被下架。
VS Code扩展程序的最终目标是植入基于Chromium的恶意浏览器扩展程序,该扩展程序能够掠夺以太坊钱包并将其泄露至命令与控制(C2)端点。它还被配置为安装单独的可执行文件,该文件可禁用Windows Defender扫描、扫描Discord、基于Chromium的浏览器、加密货币钱包和Electron应用的应用程序数据目录,并从远程服务器检索和执行额外有效载荷。
MUT-9332还被评估为最近披露活动的幕后黑手,该活动涉及使用10个恶意VS Code扩展程序(通过伪装成编码或人工智能工具)安装XMRig加密货币挖矿程序。“此次活动展示了MUT-9332在隐藏恶意意图方面令人惊讶的创造性手段,”Datadog表示。“这些有效载荷更新表明该活动可能会持续进行,而首批恶意VS Code扩展程序的检测和删除可能促使MUT-9332在后续活动中改变策略。”
消息来源: thehackernews;
本文由 HackerNews.cc 翻译整理,封面来源于网络;
暂无评论内容