NPM開原始碼庫惡意軟體包可透過Chrome的帳戶恢復工具竊取密碼
在一場大規模的軟體供應鏈攻擊中,密碼竊取者透過ChromePass從Windows系統上的 Chrome竊取證照。
在npm開原始碼儲存庫中發現了一個使用合法密碼恢復工具的憑據竊取程式碼,它潛伏在npm開原始碼儲存庫中,等待從該源提取程式碼的龐大應用程式群中植入。
研究人員從Windows系統上的Chrome中捕獲了惡意軟體竊取憑據。密碼竊取器是多功能的:它還可以偵聽來自攻擊者的命令和控制 (C2) 伺服器的傳入命令,可以上傳檔案、從受害者的螢幕和攝像頭進行記錄以及執行shell命令。
關於npm
npm(最初是 Node Package Manager或NPM的縮寫)是JavaScript執行時環境 Node.js的預設包管理器,Node.js建立在Chrome的V8 JavaScript引擎之上。它類似於 GitHub、RubyGems和PyPI等其他程式碼儲存庫,因為它是(非常長的)軟體供應鏈的一部分。
“龐大”似乎不足以來形容這個軟體生態系統:npm託管著超過150萬個獨特的包,每天為全球約1100萬開發人員提供超過10億次JavaScript包請求。
濫用Google ChromePass實用程式
除了文字JavaScript檔案,npm還包含各種型別的可執行檔案,例如PE、ELF和 Mach-O。ReversingLabs 研究人員在週三的一篇文章中發表了他們的發現,他們表示,在對程式碼儲存庫進行分析期間,他們發現了一個有趣的嵌入式 Windows 可執行檔案:憑證竊取威脅。標記為“Win32.Infostealer.Heuristics”,它出現在兩個包中:nodejs_net_server和temptesttempfile。
至少就目前而言,第一個主要威脅是nodejs_net_server。
一些細節:
nodejs_net_server:自2019 年2月首次釋出以來,已釋出12個版本,總共下載超過 1,300次的包。它最後一次更新是在六個月前,由某人使用“chrunlee”的名字創作。根據 ReversingLabs 的說法,chrunlee似乎也是 GitHub上的活躍開發人員,該開發人員正在開發61個儲存庫。
透過靜態分析,研究人員在nodejs_net_server包的多個版本中發現了 Win32.Infostealer.Heuristics 檔案。它的後設資料顯示該檔案的原始名稱是“a.exe”,位於“lib”資料夾內。研究人員指出,帶有類似副檔名的單字母檔名會向威脅者發出危險訊號。果然,a.exe 原來是一個名為ChromePass 的實用程式:一種用於恢復儲存在Chrome 網路瀏覽器中的密碼的合法工具。
chrunlee 透過12個版本增強了nodejs_net_server包,直到去年12月最終使用指令碼下載密碼竊取程式對其進行升級,開發人員將其託管在個人網站上。研究人員推測,它隨後被調整為執行 TeamViewer.exe,“可能是因為作者不希望惡意軟體與其網站之間存在如此明顯的聯絡”。
分析師稱,chrunlee 釋出了第一個版本,“只是為了測試NPM包的釋出過程”。三個月後,惡意軟體製造商實施了遠端shell功能,並在多個後續版本中進行了改進。然後,在2020 年4月,chrunlee對版本1.0.7 和1.0.8 中的shell功能進行了小的修改。最後,在2020 年12月,版本1.1.0更新了一個指令碼來下載密碼竊取工具。
第二個問題包
temptesttempfile:總下載量超過800次。令人不解的是,這個包的主頁和GitHub儲存庫連結指向的是不存在的網頁。
chrunlee的npm包之一——tempdownloadtempfile——也有不存在的連結。它的一個檔案——file/test.js——實現了與nodejs_net_server包版本中發現的相同的遠端shell 功能,但這個包不執行執行劫持,並且它缺乏永續性機制,使其目的有些不清晰。
有趣的開發者F-Up
的分析師在挑選nodejs_net_server程式碼時發現了一個開發“有趣的事實”:它的作者 chrunlee不僅編寫了一個憑據竊取程式,而且還意外發布了自己儲存的登入憑據,與密碼竊取器緊密地聯絡在一起,使作者自己成為攻擊的物件。
“npm庫釋出的版本1.1.1和1.1.2包含了在作者的個人電腦上測試ChromePass工具的結果,”研究人員觀察到。"這些登入憑據被儲存在' a.txt '檔案中,該檔案與密碼恢復工具' a.exe '位於同一資料夾。"
此外,該文字檔案有282個從chrunlee瀏覽器捕獲的登入憑據,其中一些可能仍然有效(ReversingLabs 沒有驗證它們)。而且,其中一些憑據具有最蹩腳的密碼(例如“111”)和使用者名稱“admin”。
目前已刪除惡意軟體包
GitHub發言人宣告稱:在調查後,這兩個軟體包都被刪除了。
早期的npm劫持
這不是npm第一次被有毒程式碼滲透。今年早些時候,npm中釋出了三個惡意軟體包;研究人員表示,任何被程式碼損壞的應用程式都可能從Discord使用者那裡竊取令牌和其他資訊。
2018年7月,攻擊者破壞了ESLint維護者的npm憑據,並向npm登錄檔釋出了流行的“eslint-scope”和“eslint-config-eslint”軟體包的惡意版本。惡意程式碼複製了執行 eslint-scope機器的npm憑據並將其上傳給攻擊者。
幾個月後,也就是2018年11月,又發現了另一個惡意軟體包:它依賴於流行軟體包“event-stream”的 3.3.6 版。這個名為“flatmap-stream”的惡意包包含一個加密的有效載荷,專門用於從Copay應用程式中竊取比特幣。
儲存庫是越來越受歡迎的目標
儘管該惡意軟體在npm登錄檔中存在超過三年的事實令人擔憂,但值得慶幸的是,這也給反病毒安全公司一個標記惡意軟體的機會。高階安全研究員表示,Chrome密碼竊取惡意軟體“進一步證實了對開源生態系統的攻擊如何存在並且可能多年未被發現。”
請注意,這不僅僅是網路攻擊者瞄準線中的npm。本月早些時候,研究人員偶然發現了一組滲透到PyPI中的加密礦工,也就是Python Package Index (PyPI),這是一個用 Python程式語言建立的軟體程式碼儲存庫。
根據該報告,npm滲透說明開發人員過度信任第三方程式碼,重用庫以獲得快速、簡單的結果,並且很少在將庫納入他們的專案之前進行深入的程式碼或包的安全評估。
當然,有很多程式碼需要弄清楚。尤其在引入第三方程式碼庫中的程式碼時,使用 靜態程式碼檢測工具或 開原始碼測試可以有效發現程式碼中的安全漏洞及問題,降低軟體安全風險。靠完成軟體包安裝即算完成任務,很可能會導致意外安裝惡意軟體。
在這次分析中,惡意軟體包使用合法的Windows密碼恢復工具ChromePass,從使用者的Chrome瀏覽器中竊取密碼。威脅行為者通常依靠合法的元件和服務來實施網路攻擊以逃避檢測。
網路安全公司指出,軟體供應鏈攻擊正成為惡意行為者的“一種強有力的策略”,開發人員成為其組織及其客戶群的關鍵切入點。針對開發人員的最常見的攻擊媒介之一是利用公共軟體包儲存庫。因此在使用時,及時進行程式碼安全檢測十分重要。
由於這些儲存庫擁有大量託管包,它們為惡意軟體潛伏提供了一個很好的藏身之處。在這些儲存庫中反覆發現惡意包已經證明,對安全解決方案的需求日益增長,這些解決方案能夠提供可靠的識別和保護以抵禦這類攻擊。
參讀連結:
https://threatpost.com/npm-package-steals-chrome-passwords/168004/
來自 “ ITPUB部落格 ” ,連結:http://blog.itpub.net/70000012/viewspace-2782853/,如需轉載,請註明出處,否則將追究法律責任。
相關文章
- 微軟發現惡意 npm 軟體包,可從 UNIX 系統竊取資料微軟NPM
- Chrome 擴充套件程式包含惡意程式碼,竊取加密錢包私鑰Chrome套件加密
- 還在讓瀏覽器儲存密碼?小心遭惡意軟體竊取瀏覽器密碼
- 谷歌OAuth驗證系統曝漏洞,惡意軟體能夠用以竊取Google帳戶谷歌OAuthGo
- 超過5000個安裝!新的Android惡意軟體利用VNC監視和竊取受害者密碼AndroidVNC密碼
- YouTubers帳戶被竊取、“魷魚遊戲”惡意軟體出現|全球網路安全熱點遊戲
- 黑客向熱門JavaScript庫注入惡意程式碼 竊取Copay錢包的比特幣黑客JavaScript比特幣
- 竊取終端資料成本低,謹防Formbook惡意軟體入侵竊密ORM
- Chrome瀏覽器擴充套件程式可竊取明文密碼Chrome瀏覽器套件密碼
- 被安裝惡意軟體、竊取原始碼,世界最大域名註冊商GoDaddy遭入侵多年原始碼Go
- Instagram正在測試恢復被黑客竊取的帳戶的新方法黑客
- 首款破解 2FA 的 Android 惡意程式曝光:可竊取銀行帳號Android
- 針對資訊竊取惡意軟體AZORult的分析
- 密碼是如何被竊取的密碼
- 是防毒軟體”失職“還是惡意軟體太”狡猾“?惡意軟體可繞過Android防護系統防毒Android
- 研究人員發現惡意的NPM包從應用程式和網路表單中竊取資料NPM
- 微軟:微軟帳戶使用洩露密碼達4400萬個微軟密碼
- Linux下密碼憑證竊取技巧和工具介紹Linux密碼
- Linux - openssh透過原始碼build rpm包Linux原始碼UI
- 光貓超級帳號密碼,重置光貓獲取超級帳號密碼密碼
- 無需hacking,新的WiKI-Eve攻擊能夠透過WiFi竊取數字密碼WiFi密碼
- 分佈超過800個惡意NPM包 軟體供應鏈攻擊活動增長迅速NPM
- linux 下mysql資料庫密碼恢復的方法LinuxMySql資料庫密碼
- 千萬部安卓手機中招,惡意軟體每月竊取數百萬英鎊安卓
- Debian宣佈Debsources,可搜尋軟體包原始碼原始碼
- 進銷存軟體|雲ERP倉庫管理系統軟體原始碼開源可掃碼原始碼
- 黑客工具可將惡意軟體隱藏於.Net框架黑客框架
- 惡意 Python 庫被發現會竊取 SSH 和 GPG 金鑰Python
- Synology警告惡意軟體透過暴力攻擊用勒索軟體感染NAS裝置
- 【資料庫資料恢復】透過恢復NDF檔案修復資料庫的資料恢復過程資料庫資料恢復
- 新的AdLoad惡意軟體變種可以透過蘋果的XProtect防禦蘋果
- 最大密碼管理軟體LastPass遭攻擊,原始碼和專有技術資料失竊密碼AST原始碼
- rar password recover(rar密碼恢復工具) v2.0.0.0密碼
- 無法檢測到的Linux惡意軟體;惡意軟體團隊解散,10萬美元拍賣原始碼;美團疑取消支付寶支付Linux原始碼
- 微軟研究發現其 4400 萬個帳戶使用已洩露的密碼微軟密碼
- 惡意程式碼來襲!周下載 900 萬次的 npm 庫 coa 遭劫持NPM
- 動態惡意軟體分析工具介紹
- 【教程】原始碼加密、防洩密軟體原始碼加密