[[430488]]

惡意NPM包在Windows、Linux和macOS設(shè)備上運(yùn)行加密貨幣挖礦機(jī)。

Sonatype自動(dòng)惡意軟件檢測(cè)系統(tǒng)在本月注冊(cè)的npm中發(fā)現(xiàn)了3個(gè)惡意npm包。這些惡意NPM包偽裝成合法的JS庫(kù)，并在Windows、macOS和Linux機(jī)器上運(yùn)行加密貨幣挖礦機(jī)。

這3個(gè)惡意npm包是：

• okhsa
• klow
• klown

okhsa包的不同版本中含有在Windows機(jī)器上啟動(dòng)計(jì)算器APP的代碼。此外，這些版本中都依賴惡意的klow或klown npm包。

Okhsa的manifest文件package.json表明klown也是依賴文件。

Okhsa的manifest文件package.json

這些包都是同一個(gè)開(kāi)發(fā)者發(fā)布的：

惡意包的開(kāi)發(fā)者主頁(yè)

Sonatype安全研究人員發(fā)現(xiàn)klow被npm移除后幾小時(shí)內(nèi)klown就出現(xiàn)了。Klown偽裝為一個(gè)合法的JS庫(kù)——UA-Parser-js，幫助開(kāi)發(fā)者從用戶代理http header中提取硬件特征，比如操作系統(tǒng)、CPU、瀏覽器等。

Klown偽裝成合法JS庫(kù)——“UA-Parser-js”

Sonatype研究人員進(jìn)一步分析這些包發(fā)現(xiàn)，klow和klown中都包含一個(gè)加密貨幣挖礦機(jī)。這些包會(huì)檢測(cè)當(dāng)前的操作系統(tǒng)，并根據(jù)運(yùn)行Windows系統(tǒng)或基于Unix的操作系統(tǒng)的用戶來(lái)運(yùn)行.bat或.sh腳本。然后這些腳本會(huì)下載一個(gè)exe或Linux ELF文件，并用指定挖礦池、挖礦錢(qián)包和使用的CPU線程數(shù)等參數(shù)來(lái)執(zhí)行二進(jìn)制文件。其中klown包中使用的batch腳本如下所示：

Klown包中的batch腳本截圖

該腳本會(huì)從185.173.36[.]219處下載一個(gè)jsextension.exe文件。該exe文件是一個(gè)知名的加密貨幣挖礦機(jī)。對(duì)Linux和macOS系統(tǒng)，會(huì)從相同的主機(jī)處下載一個(gè)“jsextension” ELF二進(jìn)制文件。

下圖是對(duì)加密貨幣挖礦可執(zhí)行文件的測(cè)試運(yùn)行情況：

目前還不清楚這些包的作者針對(duì)的開(kāi)發(fā)者群體。目前沒(méi)有跡象表明這是一起錯(cuò)誤輸入或依賴劫持攻擊。但Klow(n)偽裝成合法的UAParser.js庫(kù)文件，使得其看起來(lái)是一個(gè)弱的品牌劫持攻擊廠商。

Sonatype安全研究團(tuán)隊(duì)在10月15日將發(fā)現(xiàn)的惡意包提交給了npm。幾小時(shí)后，這些惡意包就被npm安全團(tuán)隊(duì)刪除了。

本文翻譯自：https://blog.sonatype.com/newly-found-npm-malware-mines-cryptocurrency-on-windows-linux-macos-devices如若轉(zhuǎn)載，請(qǐng)注明原文地址。