The Hacker News 網(wǎng)站披露，攻擊者在 npm 開(kāi)源軟件包存儲(chǔ)庫(kù)中“投放”大量偽造的軟件包，這些軟件包導(dǎo)致了短暫拒絕服務(wù)（DoS）攻擊。

Checkmarx 的研究人員 Jossef Harush Kadouri 在上周發(fā)布的一份報(bào)告中表示，攻擊者利用開(kāi)源生態(tài)系統(tǒng)在搜索引擎上的良好聲譽(yù)，創(chuàng)建惡意網(wǎng)站并發(fā)布帶有惡意網(wǎng)站鏈接的空包，此舉可能導(dǎo)致拒絕服務(wù)（DoS）攻擊，使 NPM 變得極不穩(wěn)定，甚至偶爾會(huì)出現(xiàn)服務(wù)不可用的“錯(cuò)誤”。

在最近觀察到的一波攻擊活動(dòng)中，軟件包版本數(shù)量達(dá)到了 142 萬(wàn)個(gè)，顯然比 npm 上發(fā)布的約 80 萬(wàn)個(gè)軟件包數(shù)量大幅上升。

Harush Kadouri 解釋稱攻擊者“借用”開(kāi)源存儲(chǔ)庫(kù)在搜索引擎中排名創(chuàng)建流氓網(wǎng)站，并在 README.md 文件中上傳空的 npm 模塊和指向這些網(wǎng)站的鏈接。由于開(kāi)源生態(tài)系統(tǒng)在搜索引擎上享有盛譽(yù)，任何新的開(kāi)源軟件包及其描述都會(huì)繼承這一良好聲譽(yù)，并在搜索引擎中得到很好的索引，因此毫無(wú)戒心的用戶更容易看到它們。

值得注意的是，鑒于整個(gè)攻擊過(guò)程都是自動(dòng)化的，眾多虛假軟件包同時(shí)發(fā)送產(chǎn)生的負(fù)載導(dǎo)致 NPM 在 2023 年 3 月底時(shí)間歇性地出現(xiàn)了穩(wěn)定性問(wèn)題。

Checkmarx 指出，此次攻擊活動(dòng)背后可能有多個(gè)威脅攻擊者，其最終目的也略有差別，大致可分作為以下三種：

• 第一是利用 RedLine Stealer、Glupteba、SmokeLoader 和加密貨幣礦工等惡意軟件感染受害者的系統(tǒng)；
• 第二是使用惡意鏈接會(huì)將用戶索引至類似速賣通這樣的具有推薦 ID 的合法電子商務(wù)網(wǎng)站，一旦受害者在這些平臺(tái)上購(gòu)買商品，攻擊者就會(huì)獲得分成利潤(rùn)；
• 第三類則是邀請(qǐng)俄羅斯用戶加入專門從事加密貨幣的 Telegram 頻道。

最后，Harush Kadouri 強(qiáng)調(diào)攻擊者會(huì)不斷地利用新技術(shù)來(lái)發(fā)動(dòng)網(wǎng)絡(luò)攻擊活動(dòng)，因此在同毒害軟件供應(yīng)鏈生態(tài)系統(tǒng)的攻擊者進(jìn)行斗爭(zhēng)具有很強(qiáng)的挑戰(zhàn)性， 為了防止此類自動(dòng)化攻擊活動(dòng)，建議 npm 在創(chuàng)建用戶帳戶時(shí)采用反機(jī)器人技術(shù)。