過(guò)去的6個(gè)月中�����,在開(kāi)發(fā)者最常下載的java script包庫(kù)npm中發(fā)現(xiàn)了1300多個(gè)惡意包��。這種惡意組件數(shù)量的快速增長(zhǎng)也反映出了npm正在成為惡意軟件的傳播平臺(tái)��。
開(kāi)源安全和管理公司W(wǎng)hiteSource最新研究發(fā)現(xiàn),惡意npm包數(shù)量的不斷增加使人感到很不安�����,這些包主要是被用作網(wǎng)絡(luò)應(yīng)用的組件��。任何使用該惡意代碼塊的應(yīng)用程序都可能使其用戶遭到數(shù)據(jù)盜竊��、加密劫持以及僵尸網(wǎng)絡(luò)等攻擊���。
該公司表示�����,在發(fā)現(xiàn)的惡意軟件包中���,有14%是為了竊取證書等敏感信息,而近82%的軟件包則是在偵查用戶的信息�����,攻擊者采用主動(dòng)或被動(dòng)的方式來(lái)收集目標(biāo)的相關(guān)信息����。
研究人員在周三的報(bào)告中說(shuō)�,由于npm包每周的下載量超過(guò)了200億次����,因此這些惡意代碼會(huì)被安裝在全球無(wú)數(shù)的軟件和應(yīng)用程序的網(wǎng)絡(luò)組件中���,攻擊者可以利用它們獲得大量的資產(chǎn)���。據(jù)WhiteSource稱,平均每個(gè)月有32,000個(gè)新的npm軟件包版本發(fā)布(每天17,000個(gè))��,有整整68%的開(kāi)發(fā)者依賴它來(lái)創(chuàng)建在線功能��。
研究人員說(shuō)��,這種水平的攻擊活動(dòng)可以使威脅者發(fā)起一系列的軟件供應(yīng)鏈攻擊�。因此,WhiteSource調(diào)查了npm中的惡意攻擊活動(dòng)��,在2021年發(fā)現(xiàn)了1300多個(gè)惡意包����,這些惡意包之后被刪除,但是在被刪除之前�����,可能就已經(jīng)被引入了大量的應(yīng)用程序內(nèi)。
他們?cè)趫?bào)告中寫道���,攻擊者正在集中精力利用npm惡意包來(lái)達(dá)到自己的攻擊目的����,在這些供應(yīng)鏈攻擊中�����,攻擊者通過(guò)感染現(xiàn)有的組件將他們的攻擊轉(zhuǎn)移到上游���,隨之這些組件被分發(fā)到下游并很可能已經(jīng)被安裝了數(shù)百萬(wàn)次�。
研究人員指出�,由于每月都有眾多npm軟件包被發(fā)布,一些惡意軟件包也很容易成為漏網(wǎng)之魚���。
為什么要攻擊npm?
據(jù)WhiteSource報(bào)道����,java script是目前最常用的編程語(yǔ)言���,全球約有1640萬(wàn)java script開(kāi)發(fā)人員����。
研究人員說(shuō),正是由于它在互聯(lián)網(wǎng)應(yīng)用程序和系統(tǒng)中的廣泛應(yīng)用����,使得java script生態(tài)系統(tǒng)成為攻擊者的目標(biāo)��。研究人員說(shuō)�,Npm本身就是最受歡迎的軟件包管理器和注冊(cè)中心之一,其中包含了180多萬(wàn)個(gè)活躍的軟件包���,平均每個(gè)軟件包有12.3個(gè)版本����。
像Npm這樣的軟件包注冊(cè)處還存儲(chǔ)了軟件包��、與之相關(guān)的元數(shù)據(jù)以及安裝它們所需的參數(shù)配置���,這些都可能成為攻擊載體���。所以特別是當(dāng)需要跟蹤軟件包的版本時(shí)�,也就使得IT部門很難跟上����。
此外,盡管npm和其他注冊(cè)機(jī)構(gòu)在java script的開(kāi)發(fā)過(guò)程中發(fā)揮著不可或缺的作用�����,但他們所執(zhí)行的相關(guān)安全標(biāo)準(zhǔn)是最低的�,因?yàn)樗鼈兤渲写蠖鄶?shù)都是由開(kāi)源社區(qū)維護(hù)和驗(yàn)證的,這也就使得攻擊者的攻擊時(shí)機(jī)已經(jīng)成熟��。
事實(shí)上���,攻擊者肯定已經(jīng)注意到了利用npm進(jìn)行攻擊的可能性���,而且在去年的幾次攻擊中還對(duì)用戶的注冊(cè)表進(jìn)行了攻擊。
1月�����,攻擊者利用npm傳播CursedGrabber惡意軟件�����,該軟件可以竊取Discord令牌,從而實(shí)現(xiàn)對(duì)用戶賬戶和服務(wù)器的攻擊��。然后在7月����,研究人員發(fā)現(xiàn)了一個(gè)惡意的npm包,該npm包通過(guò)使用Chrome的賬戶恢復(fù)工具來(lái)竊取密碼�����。
12月����,攻擊者再次使用npm針對(duì)Discord進(jìn)行攻擊����。通過(guò)在軟件包管理器中隱藏惡意代碼,獲取Discord令牌�,接管那些毫無(wú)防備的用戶的賬戶和服務(wù)器。
常見(jiàn)的惡意軟件�、攻擊目標(biāo)以及影響
WhiteSource的研究人員在報(bào)告中提到了他們觀察到的隱藏在惡意npm包中的一些常見(jiàn)的惡意軟件,其主要的功能是進(jìn)行憑證竊取并運(yùn)行僵尸網(wǎng)絡(luò)�。
WhiteSource在調(diào)查中發(fā)現(xiàn)的一些惡意包及其功能主要包括以下內(nèi)容:
mos-ass-loader和css-resources-loader,它們可以實(shí)現(xiàn)遠(yuǎn)程代碼執(zhí)行(RCE)攻擊�����。
circle-admin-web-app和browser-warning-ui,它們可以選擇惡意的外部包進(jìn)行下載����。
@grubhubprod_cookbook,它主要從事依賴性混淆��。
H98dx����,一個(gè)在安裝時(shí)運(yùn)行的遠(yuǎn)程shell可執(zhí)行文件,可以感染機(jī)器�。
Azure-web-pubsub-express,它可以收集主機(jī)的信息��。
研究人員還描述了他們?cè)?0月份觀察到的供應(yīng)鏈攻擊����,該攻擊使用了一個(gè)流行的npm庫(kù),ua-parser-js��,該庫(kù)用于解析用戶代理字符串來(lái)識(shí)別用戶的瀏覽器����、操作系統(tǒng)��、設(shè)備和其他屬性���。他們說(shuō),該庫(kù)每周有超過(guò)700萬(wàn)次的下載�����。
研究人員解釋說(shuō)�,攻擊者使用ua-parser-js來(lái)利用軟件供應(yīng)鏈來(lái)獲得敏感數(shù)據(jù)。
研究人員寫道:"攻擊者在接管了開(kāi)發(fā)者的npm賬戶后����,將惡意代碼插入到了三個(gè)版本的ua-parser-js文件內(nèi)。同時(shí)發(fā)布了這個(gè)包的三個(gè)新版本�����,試圖讓用戶下載它們��。"
該軟件包未受感染的版本是0.7.28����,但攻擊者發(fā)布了相同的0.7.29、0.8.0和1.0.0軟件包����,每個(gè)包都含有惡意代碼,并且在安裝時(shí)被激活��。
研究人員補(bǔ)充說(shuō)��,該軟件包的作者迅速做出回應(yīng)�����,通過(guò)發(fā)布0.7.30�����、0.8.1和1.0.1三個(gè)版本來(lái)緩解攻擊��,并試圖將那些在無(wú)意中安裝惡意軟件包的人數(shù)降到最低����。
研究人員發(fā)現(xiàn),開(kāi)發(fā)人員在周末下載npm包時(shí)應(yīng)非常警惕�,因?yàn)橹苣┦枪粽甙l(fā)布惡意包最多的時(shí)間段。這可能是因?yàn)橛休^少人在工作�,因此他們的活動(dòng)更容易不被注意到。
經(jīng)營(yíng)性網(wǎng)站備案信息
可信網(wǎng)站信用評(píng)價(jià)
網(wǎng)絡(luò)警察提醒您
誠(chéng)信網(wǎng)站
中國(guó)互聯(lián)網(wǎng)舉報(bào)中心
網(wǎng)絡(luò)舉報(bào)APP下載
