過去的6個(gè)月中，在開發(fā)者最常下載的JavaScript包庫npm中發(fā)現(xiàn)了1300多個(gè)惡意包。這種惡意組件數(shù)量的快速增長(zhǎng)也反映出了npm正在成為惡意軟件的傳播平臺(tái)。

開源安全和管理公司W(wǎng)hiteSource最新研究發(fā)現(xiàn)，惡意npm包數(shù)量的不斷增加使人感到很不安，這些包主要是被用作網(wǎng)絡(luò)應(yīng)用的組件。任何使用該惡意代碼塊的應(yīng)用程序都可能使其用戶遭到數(shù)據(jù)盜竊、加密劫持以及僵尸網(wǎng)絡(luò)等攻擊。

該公司表示，在發(fā)現(xiàn)的惡意軟件包中，有14%是為了竊取證書等敏感信息，而近82%的軟件包則是在偵查用戶的信息，攻擊者采用主動(dòng)或被動(dòng)的方式來收集目標(biāo)的相關(guān)信息。

研究人員在周三的報(bào)告中說，由于npm包每周的下載量超過了200億次，因此這些惡意代碼會(huì)被安裝在全球無數(shù)的軟件和應(yīng)用程序的網(wǎng)絡(luò)組件中，攻擊者可以利用它們獲得大量的資產(chǎn)。據(jù)WhiteSource稱，平均每個(gè)月有32,000個(gè)新的npm軟件包版本發(fā)布(每天17,000個(gè))，有整整68%的開發(fā)者依賴它來創(chuàng)建在線功能。

研究人員說，這種水平的攻擊活動(dòng)可以使威脅者發(fā)起一系列的軟件供應(yīng)鏈攻擊。因此，WhiteSource調(diào)查了npm中的惡意攻擊活動(dòng)，在2021年發(fā)現(xiàn)了1300多個(gè)惡意包，這些惡意包之后被刪除，但是在被刪除之前，可能就已經(jīng)被引入了大量的應(yīng)用程序內(nèi)。

他們?cè)趫?bào)告中寫道，攻擊者正在集中精力利用npm惡意包來達(dá)到自己的攻擊目的，在這些供應(yīng)鏈攻擊中，攻擊者通過感染現(xiàn)有的組件將他們的攻擊轉(zhuǎn)移到上游，隨之這些組件被分發(fā)到下游并很可能已經(jīng)被安裝了數(shù)百萬次。

研究人員指出，由于每月都有眾多npm軟件包被發(fā)布，一些惡意軟件包也很容易成為漏網(wǎng)之魚。

為什么要攻擊npm?

據(jù)WhiteSource報(bào)道，JavaScript是目前最常用的編程語言，全球約有1640萬JavaScript開發(fā)人員。

研究人員說，正是由于它在互聯(lián)網(wǎng)應(yīng)用程序和系統(tǒng)中的廣泛應(yīng)用，使得JavaScript生態(tài)系統(tǒng)成為攻擊者的目標(biāo)。研究人員說，Npm本身就是最受歡迎的軟件包管理器和注冊(cè)中心之一，其中包含了180多萬個(gè)活躍的軟件包，平均每個(gè)軟件包有12.3個(gè)版本。

像Npm這樣的軟件包注冊(cè)處還存儲(chǔ)了軟件包、與之相關(guān)的元數(shù)據(jù)以及安裝它們所需的參數(shù)配置，這些都可能成為攻擊載體。所以特別是當(dāng)需要跟蹤軟件包的版本時(shí)，也就使得IT部門很難跟上。

此外，盡管npm和其他注冊(cè)機(jī)構(gòu)在JavaScript的開發(fā)過程中發(fā)揮著不可或缺的作用，但他們所執(zhí)行的相關(guān)安全標(biāo)準(zhǔn)是最低的，因?yàn)樗鼈兤渲写蠖鄶?shù)都是由開源社區(qū)維護(hù)和驗(yàn)證的，這也就使得攻擊者的攻擊時(shí)機(jī)已經(jīng)成熟。

事實(shí)上，攻擊者肯定已經(jīng)注意到了利用npm進(jìn)行攻擊的可能性，而且在去年的幾次攻擊中還對(duì)用戶的注冊(cè)表進(jìn)行了攻擊。

1月，攻擊者利用npm傳播CursedGrabber惡意軟件，該軟件可以竊取Discord令牌，從而實(shí)現(xiàn)對(duì)用戶賬戶和服務(wù)器的攻擊。然后在7月，研究人員發(fā)現(xiàn)了一個(gè)惡意的npm包，該npm包通過使用Chrome的賬戶恢復(fù)工具來竊取密碼。

12月，攻擊者再次使用npm針對(duì)Discord進(jìn)行攻擊。通過在軟件包管理器中隱藏惡意代碼，獲取Discord令牌，接管那些毫無防備的用戶的賬戶和服務(wù)器。

常見的惡意軟件、攻擊目標(biāo)以及影響

WhiteSource的研究人員在報(bào)告中提到了他們觀察到的隱藏在惡意npm包中的一些常見的惡意軟件，其主要的功能是進(jìn)行憑證竊取并運(yùn)行僵尸網(wǎng)絡(luò)。

WhiteSource在調(diào)查中發(fā)現(xiàn)的一些惡意包及其功能主要包括以下內(nèi)容：

mos-ass-loader和css-resources-loader，它們可以實(shí)現(xiàn)遠(yuǎn)程代碼執(zhí)行(RCE)攻擊。

circle-admin-web-app和browser-warning-ui，它們可以選擇惡意的外部包進(jìn)行下載。

@grubhubprod_cookbook，它主要從事依賴性混淆。

H98dx，一個(gè)在安裝時(shí)運(yùn)行的遠(yuǎn)程shell可執(zhí)行文件，可以感染機(jī)器。

Azure-web-pubsub-express，它可以收集主機(jī)的信息。

研究人員還描述了他們?cè)?0月份觀察到的供應(yīng)鏈攻擊，該攻擊使用了一個(gè)流行的npm庫，ua-parser-js，該庫用于解析用戶代理字符串來識(shí)別用戶的瀏覽器、操作系統(tǒng)、設(shè)備和其他屬性。他們說，該庫每周有超過700萬次的下載。

研究人員解釋說，攻擊者使用ua-parser-js來利用軟件供應(yīng)鏈來獲得敏感數(shù)據(jù)。

研究人員寫道："攻擊者在接管了開發(fā)者的npm賬戶后，將惡意代碼插入到了三個(gè)版本的ua-parser-js文件內(nèi)。同時(shí)發(fā)布了這個(gè)包的三個(gè)新版本，試圖讓用戶下載它們。"

該軟件包未受感染的版本是0.7.28，但攻擊者發(fā)布了相同的0.7.29、0.8.0和1.0.0軟件包，每個(gè)包都含有惡意代碼，并且在安裝時(shí)被激活。

研究人員補(bǔ)充說，該軟件包的作者迅速做出回應(yīng)，通過發(fā)布0.7.30、0.8.1和1.0.1三個(gè)版本來緩解攻擊，并試圖將那些在無意中安裝惡意軟件包的人數(shù)降到最低。

研究人員發(fā)現(xiàn)，開發(fā)人員在周末下載npm包時(shí)應(yīng)非常警惕，因?yàn)橹苣┦枪粽甙l(fā)布惡意包最多的時(shí)間段。這可能是因?yàn)橛休^少人在工作，因此他們的活動(dòng)更容易不被注意到。

本文翻譯自：https://threatpost.com/malicious-npm-packages-web-apps/178137/如若轉(zhuǎn)載，請(qǐng)注明原文地址。