近日，Phylum的研究人員在開源NPM JavaScript存儲(chǔ)庫中發(fā)現(xiàn)兩個(gè)惡意AWS軟件包暗藏精心設(shè)計(jì)的代碼，一旦執(zhí)行，就會(huì)在開發(fā)者的計(jì)算機(jī)上植入后門程序。研究人員稱惡意軟件包存續(xù)期間已經(jīng)被下載了數(shù)百次。

這兩個(gè)軟件包分別是img-aws-s3-object-multipart-copy和legacyaws-s3-object-multipart-copy，它們?cè)噲D冒充合法的JavaScript庫aws-s3-object-multipart-copy。

假冒軟件包包含了所有合法庫中的代碼，并添加了一個(gè)名為loadformat.js的JavaScript文件。這個(gè)文件表面上包含無害的代碼和三個(gè)JPG圖像（分別是英特爾、AMD和微軟的公司Logo），但其中一個(gè)圖像隱藏了惡意代碼片段，這些片段被重建后可組成后門程序代碼，攻擊開發(fā)者的設(shè)備。

日益復(fù)雜的開源供應(yīng)鏈攻擊

“我們已經(jīng)報(bào)告了這些軟件包并要求移除，但這些惡意軟件包在npm項(xiàng)目中仍然存在了近兩天時(shí)間，”發(fā)現(xiàn)這些軟件包的研究人員寫道：“這令人擔(dān)憂，因?yàn)楫?dāng)今大多數(shù)系統(tǒng)無法檢測(cè)并及時(shí)報(bào)告這些軟件包，導(dǎo)致開發(fā)者長(zhǎng)時(shí)間暴露在攻擊風(fēng)險(xiǎn)中?！?/p>

研究人員表示，絕大多數(shù)殺毒軟件產(chǎn)品都未能發(fā)現(xiàn)隱藏在這兩個(gè)軟件包中的后門。

Phylum的研究主管Ross Bryant在郵件中透露，img-aws-s3-object-multipart-copy在被刪除前被下載了134次，另一個(gè)文件legacyaws-s3-object-multipart-copy被下載了48次。

這些惡意軟件包開發(fā)者對(duì)代碼的精心設(shè)計(jì)及其策略的有效性，突顯了針對(duì)上游開源代碼庫的攻擊日益復(fù)雜化，除了NPM外，其他熱門攻擊目標(biāo)還包括PyPI、GitHub和RubyGems等。

近年來，針對(duì)開發(fā)者的開源供應(yīng)鏈攻擊威脅不斷惡化。

在過去的17個(gè)月里，由朝鮮政府支持的黑客組織曾兩次針對(duì)開發(fā)者，其中一次利用了一個(gè)零日漏洞。

近期發(fā)現(xiàn)的最具創(chuàng)新性的一種開源后門隱藏方法是今年3月曝光的XZ Utils后門，只差一步進(jìn)入生產(chǎn)版本中。該后門通過一個(gè)五階段加載器實(shí)現(xiàn)，使用了一系列簡(jiǎn)單但巧妙的技術(shù)來隱藏自己。一旦安裝，黑客可以管理員權(quán)限登錄受感染的系統(tǒng)。

策劃XZ Utils攻擊的黑客組織（或個(gè)人）花費(fèi)了數(shù)年時(shí)間來開發(fā)后門。除了隱蔽方法的復(fù)雜性，該組織還投入了大量時(shí)間為開源項(xiàng)目編寫高質(zhì)量代碼，以贏得其他開發(fā)者的信任。

今年5月，Phylum阻止了另一個(gè)使用隱寫術(shù)（將秘密代碼嵌入圖像中的技術(shù)）來植入后門的PyPI軟件包攻擊活動(dòng)。

“在過去幾年中，發(fā)布到開源生態(tài)系統(tǒng)的惡意軟件包的復(fù)雜性和數(shù)量顯著增加，”Phylum研究人員寫道：“毫無疑問，這些攻擊是成功的。開發(fā)者和企業(yè)必須高度警惕所使用的開源庫。”