每週下載數百萬次!惡意軟體包感染Linux和Windows裝置引發供應鏈攻擊
開源軟體公司Sonatype的研究人員發現了多個惡意軟體包,這些軟體包將自己偽裝成 npm 登錄檔中的合法JavaScript庫,以在Windows、macOS和Linux機器上啟動加密礦工。
npm登錄檔是JavaScript包的資料庫,包括開源開發人員用來支援JavaScript程式碼共享的軟體和後設資料。
駭客劫持了流行的UA-Parser-JS NPM庫,這些庫每週下載數百萬次,在供應鏈攻擊中使用加密礦工和密碼竊取木馬感染 Linux 和 Windows 裝置。
UA-Parser-JS 庫用於解析瀏覽器的使用者代理以識別訪問者的瀏覽器、引擎、作業系統、CPU和裝置型別/型號。該庫非常受歡迎,每週下載數百萬次,本月下載量超過2400萬次。
此外,該庫還用於一千多個其他專案,包括Facebook、微軟、亞馬遜、Instagram、谷歌、Slack、Mozilla、Discord、Elastic、Intuit、Reddit 以及更多知名公司的專案。
UA-Parser-JS 專案被劫持安裝惡意軟體
10月22日,攻擊者釋出了惡意版本的UA-Parser-JS NPM庫,以在Linux和Windows裝置上安裝加密礦工和密碼竊取木馬。據開發者稱,他的NPM帳戶被劫持並用於部署該庫的三個惡意版本。
受影響的版本及其打補丁的版本是:
技術分析
報告稱,研究人員於 2021 年 10 月 15 日向 npm 報告了惡意包。報告指出,惡意軟體包被稱為okhsa - 編目為Sonatype-2021-1473 - 以及klow和klown -編目為 Sonatype-2021-1472。
研究人員稱,Okhsa 包含一個框架程式碼,可以在安裝前在 Windows 機器上啟動計算器應用程式。根據報告,這樣做的okhsa版本也包含klow或klown包作為一個依賴項。
報告稱:“Sonatype 安全研究團隊發現,klown 在被 npm 刪除後的幾個小時內就出現了。”
“Klown錯誤地宣稱自己是一個合法的JavaScript庫UA-Parser-js,以幫助開發人員從 User-Agent HTTP標頭中提取硬體細節(作業系統、CPU、瀏覽器、引擎等),”研究人員稱。
Sonatype研究員Ali ElShakankiry 分析了這些包,發現klow和klown包中包含加密貨幣礦工。
“這些軟體包在預安裝階段檢測當前作業系統,並繼續執行 .bat 或 .sh 指令碼,具體取決於使用者執行的是 Windows 還是基於 Unix 的作業系統,”ElShakankiry指出。
上述指令碼還“下載外部託管的EXE或Linux ELF,然後執行二進位制檔案,其中包含指定要使用的礦池、挖掘加密貨幣的錢包以及要使用的 CPU 執行緒數的引數”。
研究人員無法完全確定惡意行為者計劃如何針對開發人員。
研究人員指出:“沒有觀察到明顯的跡象表明存在域名搶注或依賴劫持的情況。Klow(n) 確實在表面上模仿了合法的UAParser.js庫,這使得這次攻擊看起來像是一次微弱的品牌劫持嘗試。”
攻擊破壞生態系統
Uptycs 威脅研究公司的研究人員最近發現一項活動,在該活動中,專注於雲端計算的加密劫持組織TeamTNT部署了Docker Hub上的惡意容器影像,並使用嵌入式指令碼下載用於橫幅抓取和埠掃描的測試工具。
研究人員發現,威脅行動者掃描受害者子網中的目標,並使用惡意Docker影像中的掃描工具執行惡意活動。
這些在第三方開源軟體庫中不斷出現的惡意行為表明,這些對軟體開發生態系統的成功攻擊引起惡意行為者的注意,他們非常樂意抓住任何一個機會進行犯罪活動。
Geenens指出,他們透過向線上儲存庫上傳惡意模組來破壞這些生態系統,目的是欺騙開發人員下載並在他們的系統上執行這些模組。
這些所謂的供應鏈攻擊並不侷限於包儲存庫和開源。“NotPetya和SolarWinds Orion攻擊都是商業軟體更新漏洞造成的。”軟體自身的安全漏洞為企業網路安全帶來極大風險,在開發階段採取有效的 靜態程式碼檢測有助於第一時間減少軟體中的安全漏洞,提高軟體安全性,同時減少供應鏈攻擊事件的發生,
“我們發現,最近越來越多的攻擊者將開源儲存庫作為攻擊目標,以進行具有不同目的的攻擊,從竊取敏感資料和系統檔案到加密挖掘。
4月份網路攻擊者對GitHub 進行了加密挖掘攻擊;
6月份發現了PyPI加密挖掘惡意軟體。
考慮到PyPI和npm背後生態系統的成功和規模,有很多機會利用從偵察到妥協的目標,包括資訊收集和外洩、後門、盜竊,以及在npm的情況下,加密劫持等技術。
防禦依賴攻擊
npm上的惡意輸入、品牌劫持和依賴劫持包可以做任何事情,從竊取次要資料到生成反向shell和竊取敏感檔案、進行監控活動,如鍵盤記錄和訪問網路攝像頭,以及帶有盜版內容和盜版網站連結的垃圾郵件庫。
“雖然域名搶注和品牌劫持攻擊需要開發人員進行某種形式的手動操作,但鑑於其自動化性質,惡意依賴劫持攻擊要危險得多。”
Sharma建議警惕拼寫錯誤。例如,“twilio-npm”可能與“twilio”不是同一個包。有一個 SBOM或軟體材料清單,以瞭解構成您的應用程式的依賴項和元件。”
他還建議保留一個自動化程式碼安全檢測解決方案來防禦依賴劫持攻擊,這可能就像部署一個指令碼一樣簡單,該指令碼檢查被拉入程式碼的任何公共依賴項是否與您的私有依賴項名稱衝突,或是否有異常軟體存在。
參讀連結:
來自 “ ITPUB部落格 ” ,連結:http://blog.itpub.net/70000012/viewspace-2839286/,如需轉載,請註明出處,否則將追究法律責任。
相關文章
- 分佈超過800個惡意NPM包 軟體供應鏈攻擊活動增長迅速NPM
- Synology警告惡意軟體透過暴力攻擊用勒索軟體感染NAS裝置
- 數百家媒體機構被部署惡意軟體,美國新聞行業遭受供應鏈攻擊行業
- 蘋果iOS全新惡意軟體:專門攻擊未越獄裝置蘋果iOS
- 惡意軟體日均進攻百萬次!三大方法保護Hadoop叢集免遭攻擊!Hadoop
- 新型Windows惡意軟體正在針對Linux、macOS裝置WindowsLinuxMac
- 惡意軟體Emotet 的新攻擊方法
- PyPI程式碼庫又現惡意軟體包,騰訊安全威脅情報已收錄,專家提醒碼農小心供應鏈攻擊
- 阻止惡意軟體和網路攻擊的基本方式
- 惡意 Prompt 攻擊
- Qakbot新型感染鏈:使用Windows7系統側載入感染裝置Windows
- 群暉使用者注意!QSnatch惡意軟體感染了數千個NAS裝置,竊取了憑證
- Doctor Web:研究人員在Google Play上發現惡意Android應用 總下載量達數百萬次WebGoAndroid
- 輕鬆搞定Windows惡意程式碼攻擊(轉)Windows
- 網路攻擊中超過一半的初始感染來自漏洞和脆弱的供應鏈
- 防止惡意攻擊,伺服器DDoS防禦軟體科普伺服器
- 如何在Linux下批量遮蔽惡意IP地址防攻擊Linux
- 供應鏈攻擊和關鍵基礎設施
- SolarWinds供應鏈攻擊事件分析事件
- 微軟研究:非正版軟體惡意軟體感染率為80%微軟
- 你的Android裝置有惡意軟體嗎?Android
- Osterman Research:近20%公司曾受到社交媒體惡意軟體攻擊
- Windows 11更新要小心了,惡意軟體已經盯上它;微軟去年攔截了數百億次暴力破解和網路釣魚攻擊Windows微軟
- 黑客利用Excel文件來執行ChainShot惡意軟體攻擊黑客ExcelAI
- 什麼是無檔案惡意軟體攻擊?如何防禦?
- FBI提醒司機:小心針對汽車的惡意軟體攻擊
- 英安全機構稱朝鮮應對惡意勒索軟體攻擊事件負責事件
- 載入頁面:網站如何導致使用者感染惡意軟體網站
- 每週AI應用方案精選:智慧試衣間;機器學習惡意軟體防範等AI機器學習
- 最新惡意軟體來襲!專攻Windows盜版使用者Windows
- 大多數勒索軟體攻擊發生在夜間或週末
- 警惕!Nas裝置正在受到Qlocker勒索軟體攻擊
- 科幻:Windows核心攻擊是指標對Windows作業系統核心的惡意攻擊行為Windows指標作業系統
- 軟體供應鏈安全
- Windows Defender漏洞防護:減少針對下一代惡意軟體的攻擊面Windows
- 谷歌刪除13個偽裝成遊戲的惡意軟體 下載量已達56萬次谷歌遊戲
- linux ddos惡意軟體分析Linux
- 惡意軟體Linux/Mumblehard分析Linux