175 个恶意 npm 包被下载 2.6 万次 用于凭证钓鱼攻击行动

图片[1]安全114-安全在线-安全壹壹肆-网络安全黄页-网络安全百科175 个恶意 npm 包被下载 2.6 万次 用于凭证钓鱼攻击行动

网络安全研究人员在 npm 注册表中发现了一组新的恶意软件包,共计 175 个,这些软件包被用于一场特殊的攻击行动,为凭证窃取攻击提供便利。

据网络安全公司 Socket 透露,这些软件包的总下载量已达 2.6 万次,它们构成了一场大规模钓鱼攻击行动的基础设施。该行动代号为 “比姆格里”(Beamglea),目标直指全球范围内 135 多家工业、科技及能源企业

安全研究员库什・潘迪亚表示:“尽管这些软件包采用随机命名方式,降低了开发人员误安装的可能性,但下载量中很可能包含安全研究人员、自动扫描程序以及漏洞披露后对软件包进行分析的内容分发网络(CDN)基础设施的相关下载。”

研究发现,这些软件包利用 npm 的公共注册表和unpkg.com的内容分发网络来托管重定向脚本,将受害者引导至凭证收集页面。上个月末,安全公司 Safety 的保罗・麦卡蒂首次发现了该攻击行动的部分异常情况。

具体而言,该类库中包含一个名为 “redirect_generator.py” 的 Python 文件,通过编程方式创建并发布名为 “redirect-xxxxxx” 的 npm 软件包(其中 “x” 代表随机字母数字字符串)。随后,该脚本会将受害者的电子邮件地址和自定义钓鱼链接注入到软件包中。

一旦软件包在 npm 注册表上发布,这款 “恶意软件” 就会创建一个 HTML 文件,其中包含指向与新发布软件包相关联的 UNPKG 内容分发网络的链接(例如 “unpkg [.] com/redirect-xs13nr@1.0.0/beamglea.js”)。据称,攻击者利用这一机制分发 HTML 恶意负载,当受害者打开该文件时,会从 UNPKG 内容分发网络加载 JavaScript 脚本,并被重定向至微软凭证收集页面。

JavaScript 文件 “beamglea.js” 是一个重定向脚本,其中包含受害者的电子邮件地址以及用于捕获凭证的目标钓鱼链接。Socket 公司表示,已发现超过 630 个伪装成采购订单、技术规格说明书或项目文件的 HTML 文件。

换言之,这些 npm 软件包并非设计为在安装时执行恶意代码。相反,攻击者利用 npm 和 UNPKG 来托管钓鱼基础设施。目前尚不清楚这些 HTML 文件的具体传播途径,但有可能是通过电子邮件传播,诱骗收件人打开这些特制的 HTML 文件。

Socket 公司指出:“当受害者在浏览器中打开这些 HTML 文件时,JavaScript 脚本会立即将其重定向至钓鱼域名,同时通过 URL 片段传递受害者的电子邮件地址。”

“随后,钓鱼页面会自动预填充电子邮件字段,营造出受害者正在访问一个已识别其身份的合法登录入口的假象。这种预填充凭证的方式能降低受害者的怀疑,从而显著提高攻击成功率。”

这些发现再次凸显了威胁攻击者技术不断演进的本质 —— 他们持续调整攻击手段以规避防御者的检测,而防御者也在不断研发新的检测技术。此次事件则暴露出攻击者对合法基础设施的大规模滥用行为。

潘迪亚表示:“npm 生态系统在不知情的情况下成为了攻击基础设施,而非直接的攻击载体。安装这些软件包的开发人员不会发现任何恶意行为,但打开特制 HTML 文件的受害者会被重定向至钓鱼网站。”

“攻击者通过 9 个账户发布了 175 个软件包,并自动生成针对特定受害者的 HTML 文件,构建了一个低成本且具有韧性的钓鱼基础设施。该基础设施无需支付服务器托管费用,还能利用可信的内容分发网络服务。npm 的开放注册表、unpkg.com的自动分发功能以及极简代码的结合,形成了一套可复制的攻击方案,其他攻击者很可能会效仿采用。”


消息来源:thehackernews

本文由 HackerNews.cc 翻译整理,封面来源于网络;

© 版权声明
THE END
你的支持是我们在网空安全路上的驱动力!
点赞15 分享
评论 抢沙发
头像
欢迎您留下宝贵的见解!
提交
头像

昵称

取消
昵称表情快捷回复

    暂无评论内容