聚焦源代码安全,网罗国内外最新资讯!
编译:代码卫士
攻击者通过 npm 恶意包攻击Roblox 开发人员,再次表明威胁行动者利用该开源生态系统中的信任来传播恶意软件。
Checkmarx 公司的研究员 Yehuda Gelb 在技术报告中提到,“通过模拟热门 ‘noblox.js’ 库,发布数十个包,窃取敏感数据并攻陷系统。”
该攻击活动的详情由 ReversingLabs 在2023年8月首次记录,它是 Luna Token Grabber 窃取器活动的一部分,被指重现了“两年前(2021年10月)所发现攻击活动”。
自今年开始,另外两个包 noblox.js-proxy-server 和 noblox-ts 被识别为恶意包并模拟热门 Node.js 库来传播窃取器恶意软件和一个远程访问木马 Quasar RAT。
Gelb 表示,“攻击人员利用多种技术如 brandjacking(品牌劫持)、combosquatting(组合式域名仿冒) 和 starjacking (标星劫持)等为其恶意包营造一种合法幻象。”为此,这些包被命名为 noblox.js-async、noblox.js-thread、noblox.js-threads 和 noblox.js-api,以此诱骗不知情的开发人员它们与合法包 “noblox.js”相关。
这些包的下载数据如下:
noblox.js-async(74次下载)
noblox.js-thread(117次下载)
noblox.js-threads(64次下载)
noblox.js-api(64次下载)
攻击者利用的另外一种技术是starjacking(标星劫持),即恶意包将来源仓库标注为真实 noblox.js 库,以增加其可信度。最近版本中的嵌入式恶意代码是处理托管在 GitHub 仓库上额外payload 的网关,在窃取 Discord 令牌的同时更新微软 Defender杀毒例外列表以躲避检测,并通过 Windows Registry 变更的方式设置可持久性。
Gelb 提到,“该恶意软件的有效性主要体现在持久性方式,它利用 Windows Settings 应用确保持续的访问权限。结果,每当用户尝试打开 Windows Settings app时,系统就不可避免地执行该恶意软件。”
这一攻击链的最终目标是部署 Quasar RAT,使攻击者获得受感染系统的远程控制。信息通过 Discord 网勾被收割到攻击者的 C2服务器中。
这些研究结果表明,尽管已采取下架措施,但仍有稳定的新包流被发布,因此开发人员应保持警惕。
代码卫士试用地址:https://codesafe.qianxin.com
开源卫士试用地址:https://oss.qianxin.com
推荐阅读
JFrog Artifactory 缺陷导致软件供应链易受缓存投毒攻击
SAP AI Core中严重的 “SAPwned” 缺陷可引发供应链攻击
原文链接
https://thehackernews.com/2024/09/malicious-npm-packages-mimicking.html
题图:Pixabay License
本文由奇安信编译,不代表奇安信观点。转载请注明“转自奇安信代码卫士 https://codesafe.qianxin.com”。
奇安信代码卫士 (codesafe)
国内首个专注于软件开发安全的产品线。
觉得不错,就点个 “在看” 或 "赞” 吧~
扫一扫
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
