近日，研究人員在 Rust 編程語言的 crate 注冊表中發(fā)現(xiàn)了一些惡意軟件包，專門針對開發(fā)人員。

Phylum 在上周發(fā)布的一份報(bào)告中稱，這些庫是由一個(gè)名為 "amaperf "的用戶在 2023 年 8 月 14 日至 16 日之間上傳的?，F(xiàn)已刪除的軟件包名稱如下：postgress、if-cfg、xrvrv、serd、oncecell、lazystatic 和 envlogger。

目前還不清楚該活動(dòng)的最終目的是什么，但發(fā)現(xiàn)這些可疑模塊都帶有捕獲操作系統(tǒng)信息(即 Windows、Linux、macOS 或未知)的功能，并通過消息平臺的 API 將數(shù)據(jù)傳輸?shù)接簿幋a的 Telegram 頻道。

這表明該活動(dòng)可能處于早期階段，威脅行為者可能已經(jīng)撒下一張大網(wǎng)，攻陷盡可能多的開發(fā)人員計(jì)算機(jī)，從而提供具有更強(qiáng)數(shù)據(jù)滲出能力的流氓更新。

該公司表示：由于可以訪問 SSH 密鑰、生產(chǎn)基礎(chǔ)設(shè)施和公司 IP，開發(fā)人員現(xiàn)在成了極有價(jià)值的目標(biāo)。

這并不是 crates.io 第一次成為供應(yīng)鏈攻擊的目標(biāo)。2022 年 5 月，SentinelOne 揭露了一個(gè)名為 CrateDepression 的活動(dòng)，該活動(dòng)利用錯(cuò)別字技術(shù)竊取敏感信息并下載任意文件。

此次披露的同時(shí)，Phylum 還揭露了一個(gè)名為 emails-helper 的 npm 軟件包，該軟件包一旦安裝，就會(huì)設(shè)置一個(gè)回調(diào)機(jī)制，將機(jī)器信息外泄到遠(yuǎn)程服務(wù)器，并啟動(dòng)隨附的加密二進(jìn)制文件，作為復(fù)雜攻擊的一部分。

該模塊被宣傳為 "根據(jù)不同格式驗(yàn)證電子郵件地址的 JavaScript 庫"，目前已被 npm 下架，但自 2023 年 8 月 24 日上傳到軟件倉庫以來，已吸引了 707 次下載。

該公司表示：攻擊者試圖通過 HTTP 進(jìn)行數(shù)據(jù)滲透，如果失敗，攻擊者就會(huì)轉(zhuǎn)而通過 DNS 進(jìn)行數(shù)據(jù)滲透。二進(jìn)制文件部署了滲透測試工具，如 dnscat2、mettle 和 Cobalt Strike Beacon。

對于開發(fā)人員來說，像運(yùn)行 npm install 這樣的簡單操作就能引發(fā)這個(gè)精心設(shè)計(jì)的攻擊鏈，因此開發(fā)人員在進(jìn)行軟件開發(fā)活動(dòng)時(shí)必須謹(jǐn)慎。

Python 軟件包索引(PyPI)上也發(fā)現(xiàn)了惡意軟件包，這些軟件包試圖從受感染的系統(tǒng)中竊取敏感信息，并從遠(yuǎn)程服務(wù)器下載未知的第二階段有效載荷。

參考鏈接：https://thehackernews.com/2023/08/developers-beware-malicious-rust.html