摘要:據開發者稱,他的帳戶被劫持并用于部署該庫的三個惡意版本。報告指出,惡意軟件包被稱為編目為以及和編目為。研究人員無法完全確定惡意行為者計劃如何針對開發人員。月份網絡攻擊者對進行了加密挖掘攻擊月份發現了加密挖掘惡意軟件。
10月22日,攻擊者發布了惡意版本的UA-Parser-JS NPM庫,以在Linux和Windows設備上安裝加密礦工和密碼竊取木馬。據開發者稱,他的NPM帳戶被劫持并用于部署該庫的三個惡意版本。
受影響的版本及其打補丁的版本是:
報告稱,研究人員于 2021 年 10 月 15 日向 npm 報告了惡意包。報告指出,惡意軟件包被稱為okhsa - 編目為Sonatype-2021-1473 - 以及klow和klown -編目為 Sonatype-2021-1472。
研究人員稱,Okhsa 包含一個框架代碼,可以在安裝前在 Windows 機器上啟動計算器應用程序。根據報告,這樣做的okhsa版本也包含klow或klown包作為一個依賴項。
報告稱:“Sonatype 安全研究團隊發現,klown 在被 npm 刪除后的幾個小時內就出現了。”
“Klown錯誤地宣稱自己是一個合法的JavaScript庫UA-Parser-js,以幫助開發人員從 User-Agent HTTP標頭中提取硬件細節(操作系統、CPU、瀏覽器、引擎等),”研究人員稱。
Sonatype研究員Ali ElShakankiry 分析了這些包,發現klow和klown包中包含加密貨幣礦工。
“這些軟件包在預安裝階段檢測當前操作系統,并繼續運行 .bat 或 .sh 腳本,具體取決于用戶運行的是 Windows 還是基于 Unix 的操作系統,”ElShakankiry指出。
上述腳本還“下載外部托管的EXE或Linux ELF,然后執行二進制文件,其中包含指定要使用的礦池、挖掘加密貨幣的錢包以及要使用的 CPU 線程數的參數”。
研究人員無法完全確定惡意行為者計劃如何針對開發人員。
研究人員指出:“沒有觀察到明顯的跡象表明存在域名搶注或依賴劫持的情況。Klow(n) 確實在表面上模仿了合法的UAParser.js庫,這使得這次攻擊看起來像是一次微弱的品牌劫持嘗試。”
Uptycs 威脅研究公司的研究人員最近發現一項活動,在該活動中,專注于云計算的加密劫持組織TeamTNT部署了Docker Hub上的惡意容器圖像,并使用嵌入式腳本下載用于橫幅抓取和端口掃描的測試工具。
研究人員發現,威脅行動者掃描受害者子網中的目標,并使用惡意Docker圖像中的掃描工具執行惡意活動。
這些在第三方開源軟件庫中不斷出現的惡意行為表明,這些對軟件開發生態系統的成功攻擊引起惡意行為者的注意,他們非常樂意抓住任何一個機會進行犯罪活動。
Geenens指出,他們通過向在線存儲庫上傳惡意模塊來破壞這些生態系統,目的是欺騙開發人員下載并在他們的系統上執行這些模塊。
這些所謂的供應鏈攻擊并不局限于包存儲庫和開源。“NotPetya和SolarWinds Orion攻擊都是商業軟件更新漏洞造成的。”軟件自身的安全漏洞為企業網絡安全帶來極大風險,在開發階段采取有效的靜態代碼檢測有助于第一時間減少軟件中的安全漏洞,提高軟件安全性,同時減少供應鏈攻擊事件的發生,
“我們發現,最近越來越多的攻擊者將開源存儲庫作為攻擊目標,以進行具有不同目的的攻擊,從竊取敏感數據和系統文件到加密挖掘。
4月份網絡攻擊者對GitHub 進行了加密挖掘攻擊;
6月份發現了PyPI加密挖掘惡意軟件。
考慮到PyPI和npm背后生態系統的成功和規模,有很多機會利用從偵察到妥協的目標,包括信息收集和外泄、后門、盜竊,以及在npm的情況下,加密劫持等技術。
npm上的惡意輸入、品牌劫持和依賴劫持包可以做任何事情,從竊取次要數據到生成反向shell和竊取敏感文件、進行監控活動,如鍵盤記錄和訪問網絡攝像頭,以及帶有盜版內容和盜版網站鏈接的垃圾郵件庫。
“雖然域名搶注和品牌劫持攻擊需要開發人員進行某種形式的手動操作,但鑒于其自動化性質,惡意依賴劫持攻擊要危險得多。”
Sharma建議警惕拼寫錯誤。例如,“twilio-npm”可能與“twilio”不是同一個包。有一個 SBOM或軟件材料清單,以了解構成您的應用程序的依賴項和組件。”
他還建議保留一個自動化代碼安全檢測解決方案來防御依賴劫持攻擊,這可能就像部署一個腳本一樣簡單,該腳本檢查被拉入代碼的任何公共依賴項是否與您的私有依賴項名稱沖突,或是否有異常軟件存在。
參讀鏈接:
www.inforisktoday.com/malicious-p…
文章版權歸作者所有,未經允許請勿轉載,若此文章存在違規行為,您可以聯系管理員刪除。
轉載請注明本文地址:http://specialneedsforspecialkids.com/yun/122746.html
摘要:月同時,約有百萬用戶在谷歌應用商店里感染了惡意軟件,它隱藏在超過多個流行的游戲中,例如。近日安全研究者發現在第三方應用市場和谷歌應用商店存在上千款惡意偽裝軟件。是如何工作的首先上傳至谷歌應用市場,偽裝成名為的通信工具。 如果你認為在官方應用市場里下載app就覺得安全的話,小編可以負責任的回答你:too young too simple,sometimes native 今年4月,Ban...
摘要:目前為止,發現的幾十個新的木馬的變異程序,無一例外都是利用漏洞在受感染的設備上獲得權限。自去年月以來,惡意木馬大約次繞過的自動化惡意程序檢查程序進入官方應用市場。為了隱藏這類活動,木馬會關閉設備聲音并刪除所有收到的短信。 本月第二次,Google 從官方應用商店 Google Play 中移除了偽裝成合法程序的惡意應用。被移除的應用都屬于名叫 Ztorg 的 Android 惡意程序家...
摘要:目前為止,發現的幾十個新的木馬的變異程序,無一例外都是利用漏洞在受感染的設備上獲得權限。自去年月以來,惡意木馬大約次繞過的自動化惡意程序檢查程序進入官方應用市場。為了隱藏這類活動,木馬會關閉設備聲音并刪除所有收到的短信。 本月第二次,Google 從官方應用商店 Google Play 中移除了偽裝成合法程序的惡意應用。被移除的應用都屬于名叫 Ztorg 的 Android 惡意程序家...
閱讀 2892·2021-11-23 09:51
閱讀 3403·2021-11-22 09:34
閱讀 3305·2021-10-27 14:14
閱讀 1503·2019-08-30 15:55
閱讀 3345·2019-08-30 15:54
閱讀 1066·2019-08-30 15:52
閱讀 1887·2019-08-30 12:46
閱讀 2844·2019-08-29 16:11