在一场打破传统供应链攻击模式的新型钓鱼活动中,威胁攻击者正滥用合法的 NPM(Node.js 包管理平台)基础设施。
近年来针对 NPM 生态系统的攻击,多依赖于在包中注入恶意代码,以此感染开发者及其用户,并添加类似蠕虫的传播行为。
而在此次新发现的、被命名为 “Beamglea” 的攻击活动中,恶意包并不执行代码,而是滥用合法的 CDN(内容分发网络)服务 unpkg [.] com,向毫无防备的用户推送钓鱼页面。
9 月末,Safety 公司安全研究员保罗・麦卡蒂(Paul McCarty)首次发现了 120 个用于该攻击的恶意包。如今,网络安全公司 Socket 表示,这类恶意包的数量已突破 175 个。
这些恶意包的攻击目标覆盖能源、工业设备及科技领域的 135 余家企业,累计下载量超 2.6 万次—— 不过其中多数下载来自安全研究员、自动化扫描工具及分析软件,非真实受害者操作。
Socket 解释称,恶意包的命名均包含随机 6 位字符串,且遵循 “redirect-[a-z0-9]{6}” 的格式(例如 “redirect-3f7a9d”)。这些包一旦发布至 NPM 平台,unpkg [.] com 便会通过 HTTPS 协议的 CDN 链接将其开放访问。
Socket 指出:“攻击者可能会向目标受害者分发伪装成‘采购订单’和‘项目文档’的 HTML 文件。尽管具体传播方式尚不明确,但从‘商务文档主题’及‘针对受害者的定制化内容’可推测,传播途径应为‘电子邮件附件’或‘钓鱼链接’。”
当受害者打开该 HTML 文件时,文件中关联的恶意 JavaScript 代码会从 unpkg [.] com 的 CDN 加载到浏览器中,随后将受害者重定向至钓鱼页面,诱导其输入账号密码等凭据。
Socket 还发现,攻击者使用 Python 工具实现了攻击活动的自动化:该工具流程可完成以下操作 —— 检查受害者是否已登录、诱导其输入凭据、将受害者邮箱及钓鱼链接注入 JavaScript 模板文件(beamglea_template.js)、生成 package.json 配置文件、将恶意包发布为 NPM 公共包,最后生成包含 “指向该恶意包的unpkg.com CDN 链接” 的 HTML 文件。
Socket 表示:“借助这种自动化手段,攻击者无需为每个受害者手动操作,即可创建 175 个针对不同企业的独特恶意包。”
攻击者已生成超 630 个指向这些恶意包的 HTML 文件,所有文件的元标签中均包含攻击活动标识 “nb830r6x”。这些文件分别伪装成 “采购订单”“技术规格文档” 和 “项目文件”,极具迷惑性。
Socket 进一步说明:“当受害者在浏览器中打开这些 HTML 文件时,JavaScript 代码会立即将其重定向至钓鱼域名,同时通过 URL 片段(URL fragment)传递受害者的邮箱地址。随后,钓鱼页面会自动预填充邮箱字段,营造出‘这是已识别用户身份的合法登录门户’的假象,极具欺骗性。”
此次攻击的目标企业包括:阿尔戈杜埃(Algodue,意大利工业设备商)、安赛乐米塔尔(ArcelorMittal,跨国钢铁集团)、德玛格起重机(Demag Cranes,德国起重设备商)、友讯科技(D-Link,网络设备商)、H2 系统公司(H2 Systems,能源设备商)、摩莎科技(Moxa,工业物联网解决方案商)、皮乌西(Piusi,流体传输设备商)、雷尼绍(Renishaw,英国工程技术公司)、萨索尔(Sasol,南非能源化工企业)、斯特塔西(Stratasys,3D 打印技术公司)及蒂森克虏伯努克萨(ThyssenKrupp Nucera,氢能设备商)等。攻击主要集中在西欧国家,同时在北欧及亚太地区也发现了部分目标企业。
网络安全公司 Snyk 指出,另有一批采用 “mad-*” 命名格式(例如 “mad-utils”)的 NPM 包也表现出类似恶意行为,尽管目前尚未证实其与 Beamglea 攻击活动相关。
Snyk 表示:“这类包包含一个伪装的‘Cloudflare 安全检查’页面,会秘密将用户重定向至‘从远程 GitHub 托管文件中获取的攻击者控制域名’。包中还包含常见的反分析逻辑:一方面阻止调试快捷键(如 F12)的使用,另一方面会在用户点击‘虚假验证勾选框’后,强制跳转顶层窗口(即‘框架破坏’技术,frame-busting),防止钓鱼页面被嵌入合法网站框架中暴露。”
消息来源:securityweek;
本文由 HackerNews.cc 翻译整理,封面来源于网络;
暂无评论内容