5月11日，網(wǎng)絡(luò)安全研究人員在NPM注冊表中發(fā)現(xiàn)了一些惡意軟件包，專門針對一些位于德國的知名媒體、物流和工業(yè)公司進(jìn)行供應(yīng)鏈攻擊。

JFrog研究人員在一份報告中表示，“與NPM庫中發(fā)現(xiàn)的大多數(shù)惡意軟件相比，這一有效負(fù)載危險性更高。它是一個高度復(fù)雜的、模糊的惡意軟件，攻擊者可以通過后門完全控制被感染的機器?！?/p>

DevOps公司表示，根據(jù)現(xiàn)有證據(jù)，這要么是一個復(fù)雜的威脅行為，要么是一個“非常激進(jìn)”的滲透測試。

目前，大部分惡意軟件包已經(jīng)從注冊表中移除，研究人員追蹤到四個“維護(hù)者”bertelsmannnpm、boschnodemodules、stihlnodemodules和dbschenkernpm，這些用戶名表明其試圖冒充像貝塔斯曼、博世、Stihl和DB Schenker這樣的合法公司。

“維護(hù)者”bertelsmannnpm

一些軟件包的名稱非常具體，它意味著對手設(shè)法識別了公司內(nèi)部存儲庫中的庫以進(jìn)行依賴混淆攻擊。

供應(yīng)鏈攻擊

上述發(fā)現(xiàn)來自Snyk的報告，該報告詳細(xì)描述了其中一個違規(guī)的軟件包“gxm-reference-web-aut -server”，并指出惡意軟件的目標(biāo)是一家在其私有注冊表中有相同軟件包的公司。

Snyk安全研究團隊表示:“攻擊者很可能在該公司的私人注冊表中，掌握了這樣一個包的存在信息?！?/p>

Reversing實驗室證實了黑客攻擊行為，稱上傳至NPM的惡意模塊版本號比私有模塊的版本號更高，從而迫使模塊進(jìn)入目標(biāo)環(huán)境，這是依賴混淆攻擊的明顯特征。

該實驗室解釋“運輸和物流公司的目標(biāo)私有軟件包有0.5.69和4.0.48版本，與惡意軟件包的公開版本名稱相同，但其使用的是版本0.5.70和4.0.49?！?/p>

JFrog稱這種植入是“內(nèi)部開發(fā)”，并指出該惡意軟件包含兩個組件，一個是傳輸器，它在解密和執(zhí)行JavaScript后門之前，向遠(yuǎn)程遙測服務(wù)器發(fā)送有關(guān)被感染機器的信息。

后門雖然缺乏持久性機制，但設(shè)計用于接收和執(zhí)行硬編碼的命令和控制服務(wù)器發(fā)送的命令，評估任意JavaScript代碼，并將文件上傳回服務(wù)器。

研究人員稱，這次攻擊的目標(biāo)非常明確，并且其掌握了非常機密的內(nèi)部信息，甚至在NPM注冊表中創(chuàng)建的用戶名公開指向目標(biāo)公司。

在此之前，以色列網(wǎng)絡(luò)安全公司Check Point披露了一項長達(dá)數(shù)月的信息竊取活動，該活動使用AZORult、BitRAT、Raccoon等商用惡意軟件攻擊德國汽車行業(yè)。

參考鏈接：https://thehackernews.com/2022/05/malicious-npm-packages-target-german.html