安全動態(tài)

投放800個惡意NPM包!黑客發(fā)動“自動化”供應(yīng)鏈攻擊

來源:聚銘網(wǎng)絡(luò)    發(fā)布時間:2022-03-31    瀏覽次數(shù):
 

信息來源:安全內(nèi)參


軟件供應(yīng)鏈攻擊的頻率和規(guī)模正在不斷升級。近日,一個被代號“RED-LILI”的黑客發(fā)動了針對NPM存儲庫的大規(guī)模供應(yīng)鏈攻擊,一口氣發(fā)布近800個惡意NPM包。

“通常,攻擊者使用一個匿名的一次性NPM帳戶發(fā)起攻擊,”以色列安全公司Checkmarx透露:“但這一次,攻擊者似乎完全自動化了NPM帳戶創(chuàng)建過程,為每個惡意程序包都開設(shè)了專用帳戶,這使得這批新的惡意包更難被發(fā)現(xiàn)和完全清理?!?

此前,JFrog和Sonatype最近的報告都詳細(xì)介紹了數(shù)百個惡意NPM包,這些包利用依賴混淆和域名仿冒等技術(shù)針對Azure、Uber和Airbnb的開發(fā)人員。

根據(jù)對RED-LILI作案手法的詳細(xì)分析,其異常活動的最早證據(jù)出現(xiàn)在2022年2月23日,該惡意程序包集群在一周內(nèi)“爆發(fā)式”發(fā)布。

據(jù)Checkmarx透露,黑客使用自定義Python代碼和Selenium等Web測試工具的組合來模擬在注冊表中復(fù)制用戶創(chuàng)建過程所需的用戶操作,從而將惡意庫自動化批量上傳到NPM。

為了繞過NPM設(shè)置的一次性密碼(OTP)驗(yàn)證,攻擊者還利用一種名為Interactsh的開源工具將NPM服務(wù)器發(fā)送的OTP提取到注冊期間提供的電子郵件地址,從而成功創(chuàng)建帳戶。

有了這個全新的NPM用戶帳戶后,攻擊者會在生成訪問令牌之后,以自動方式創(chuàng)建和發(fā)布一個惡意程序包,且每個帳戶只發(fā)布一個,這種方式可以有效繞過電子郵件OTP驗(yàn)證。

研究人員說:“這是軟件供應(yīng)鏈攻擊的一個里程碑,標(biāo)志著供應(yīng)鏈攻擊者正在不斷提高技能并讓防御變得更加艱難?!薄巴ㄟ^跨多個用戶名分發(fā)惡意軟件包,攻擊者使防御者更難完全關(guān)聯(lián)和防御,增加感染的機(jī)會?!?

參考鏈接:

https://checkmarx.com/blog/a-beautiful-factory-for-malicious-packages/


 
 

上一篇:2022年3月30日聚銘安全速遞

下一篇:俄烏沖突對全球IT外包行業(yè)帶來不利影響