整理 | 张仕影
出品 | CSDN(ID:CSDNnews)
近期 , JFrog 安全研究团队发现了数百个恶意软件包 , 这些软件包旨在大规模的 typosquatting (误植域名)攻击中窃取 PII(个人身份信息) 。【200 多个 npm 包被攻击,Azure 开发者请注意!】JFrog 安全研究团队使用 JFrog 平台的自动化工具持续监控流行的开源软件(OSS)存储库 , 以避免潜在的软件供应链安全威胁 , 并将发现的漏洞或恶意软件包报告给存储库维护者以及更广泛的社区 。
几天前 , JFrog 平台的几个自动分析器开始对 npm(node package manager)注册表中的一组软件包发出警报 。 这组特殊的软件包在几天内稳步增长 , 截至 3 月 21 日 , 已从 50 多个软件包增加到了 200 多个软件包 。
JFrog 在手动检查了其中一些软件包后 , 发现这是针对整个 @azure npm 作用域的攻击 , 攻击者利用自动脚本来创建账户并上传覆盖整个作用域的恶意软件包 。 目前 , JFrog 发现这些软件包的恶意有效载荷主要用于窃取 PII(个人身份信息) 。
所幸 , 整套恶意软件包很快被 npm 维护者发现 , 所以这些软件包被迅速删除了 。
攻击目标与软件供应链攻击方式
攻击者主要攻击的目标为所有使用 @azure 作用域内软件包的 npm 开发者 , 以及 @azure-rest、@azure-test、@azure-tools 和 @cadl-lang 作用域中的一些包 。
攻击者所使用的攻击方法是 typosquatting(误植域名:一种域名抢注形式 , 常常会导致品牌劫持)——攻击者简单地创建一个新的(恶意的)包 , 使其名称与现有的 @azure 作用域包相同 , 但删除了作用域名 。
例如 , 下面是一个合法的 @azure npm 包:
文章图片
而它的恶意对应者为:
这种恶意攻击针对了至少 218 个包 。 已被披露包的完整列表发布在 JFrog 的安全研究网站上(详见参考链接的附录A) 。
由于一些开发者在安装包时可能会错误地省略 @azure 前缀 , 因此让攻击者有了可乘之机 。 例如 , 开发者可能会错误地运行“npm install core-tracing” , 而不是正确的命令:“npm install @azure/core-tracing” 。
除了 typosquatting(误植域名)攻击方法之外 , 所有的恶意软件包都有极高的版本号(例如99.10.9) , 这表明其中存在依赖项混淆攻击 。 因此 , JFrog 猜测 , 除了基于 typosquatting(误植域名)的常规 npm 用户目标外 , 攻击者还试图攻击开发者和运行于 Microsoft/Azure 内部网络的设备 。 不过 , JFrog 没有继续研究这个攻击载体 , 因此这只是一个猜测 。
利用自动化模糊攻击来源
根据攻击的规模可以发现 , 攻击者显然是使用了脚本来上传恶意软件包 。 另外 , 攻击者还试图隐藏这些恶意软件包均由同一作者上传的事实 , 为上传的每个恶意软件包都创建了一个独特的用户名(用随机生成的名字):
恶意有效载荷的技术分析
如前所述 , 这些包的恶意有效载荷用于窃取/侦察 PII(个人身份信息) 。
一旦软件包被安装 , 恶意代码就会自动运行 , 并泄露以下详细信息:
- 以下目录的列表(非递归):
- C:\
- D:\
- /
- /home
- 用户的用户名
- 用户的主目录
- 当前的工作目录
- 所有网络接口的IP地址
- 已配置的DNS服务器的IP地址
- 其所攻击的包的名称
特别声明:本站内容均来自网友提供或互联网,仅供参考,请勿用于商业和其他非法用途。如果侵犯了您的权益请与我们联系,我们将在24小时内删除。