Aikido在npm热门包 rand-user-agent 中发现恶意代码-CSDN博客

聚焦源代码安全，网罗国内外最新资讯！

专栏·供应链安全

数字化时代，软件无处不在。软件如同社会中的“虚拟人”，已经成为支撑社会正常运转的最基本元素之一，软件的安全性问题也正在成为当今社会的根本性、基础性问题。

随着软件产业的快速发展，软件供应链也越发复杂多元，复杂的软件供应链会引入一系列的安全问题，导致信息系统的整体安全防护难度越来越大。近年来，针对软件供应链的安全攻击事件一直呈快速增长态势，造成的危害也越来越严重。

为此，我们推出“供应链安全”栏目。本栏目汇聚供应链安全资讯，分析供应链安全风险，提供缓解建议，为供应链安全保驾护航。

注：以往发布的部分供应链安全相关内容，请见文末“推荐阅读”部分。

Aikido Security公司发现了内嵌在一个 JavaScript 包 rand-user-agent 中存在一个远程访问木马 (RAT)，而该包从 npm 注册表中的每周下载量约为4.5万次。

Aikido Security 公司提醒称，“5月5日，我们的自动化恶意软件分析管道检测到一个可疑的程序包……它检测到针对该合法包的一起供应链攻击。”该程序包生成随机化的 user-agent 字符串并由 WebScrapingAPI 维护。但从1.0.110开始，攻击者已经注入深入混淆的恶意代码，将该工具转变为一款成熟的监控工具。

Aikido 发布报告显示，攻击者通过一种滚动条方式将后门隐藏在 dist/index.js 中，有效地将深度混淆的 JavaScript 隐藏在文件底部。该代码包含一个构造精巧的恶意软件加载器用于提取数据并设置隐秘的套接字通信。

该恶意脚本一旦被激活，就会：

与 http://85.239.62[.]36:3306 处的一台C2服务器设立socket.io-client 连接；
通过与 http://85.239.62[.]36:27017/u/f 的HTTP POST设置文件提取管道；
在用户主页的隐秘 .node_modules 目录中动态安装依赖（axios、socket.io-client）。

一旦连接后，该RAT就会找到具有唯一ID的主机，发送OS详情并等待远程命令。受支持的命令包括：

| Command        | Purpose                                                      || --------------- |------------------------------------------------------------- || cd             | Change current working directory                              || ss_dir         | Reset directory to script’s path                             || ss_fcd:<path>   | Forcechange directory to <path>                              || ss_upf:f,d     | Upload single file f to destination d                         || ss_upd:d,dest  | Upload allfiles under directory d to destination dest        || ss_stop        | Sets a stop flag to interrupt current upload process          || Any otherinput | Treated as a shell command, executed via child_process.exec() |

其中最具隐秘性的特性是针对 Windows 的 PATH 劫持。该RAT将如下内容附加在系统的开头：

PATH: %LOCALAPPDATA%\Programs\Python\Python3127

该研究人员解释称，“通过在PATH开头注入该目录，任何依赖于环境解析可执行文件的命令可能会被悄悄劫持。”这意味着，即使看似合法的 Python 命令也可被通过受恶意软件控制的目录中的可执行文件路由。值得一提的是，GitHub 显示该包的最近一次发布版本是 2.0.82。然而，该 npm 注册表中包含如下恶意更新：