安全動態(tài)

投放800個惡意NPM包!黑客發(fā)動“自動化”供應鏈攻擊

來源:聚銘網絡    發(fā)布時間:2022-03-31    瀏覽次數:
 

信息來源:安全內參


軟件供應鏈攻擊的頻率和規(guī)模正在不斷升級。近日,一個被代號“RED-LILI”的黑客發(fā)動了針對NPM存儲庫的大規(guī)模供應鏈攻擊,一口氣發(fā)布近800個惡意NPM包。

“通常,攻擊者使用一個匿名的一次性NPM帳戶發(fā)起攻擊,”以色列安全公司Checkmarx透露:“但這一次,攻擊者似乎完全自動化了NPM帳戶創(chuàng)建過程,為每個惡意程序包都開設了專用帳戶,這使得這批新的惡意包更難被發(fā)現和完全清理。”

此前,JFrog和Sonatype最近的報告都詳細介紹了數百個惡意NPM包,這些包利用依賴混淆和域名仿冒等技術針對Azure、Uber和Airbnb的開發(fā)人員。

根據對RED-LILI作案手法的詳細分析,其異?;顒拥淖钤缱C據出現在2022年2月23日,該惡意程序包集群在一周內“爆發(fā)式”發(fā)布。

據Checkmarx透露,黑客使用自定義Python代碼和Selenium等Web測試工具的組合來模擬在注冊表中復制用戶創(chuàng)建過程所需的用戶操作,從而將惡意庫自動化批量上傳到NPM。

為了繞過NPM設置的一次性密碼(OTP)驗證,攻擊者還利用一種名為Interactsh的開源工具將NPM服務器發(fā)送的OTP提取到注冊期間提供的電子郵件地址,從而成功創(chuàng)建帳戶。

有了這個全新的NPM用戶帳戶后,攻擊者會在生成訪問令牌之后,以自動方式創(chuàng)建和發(fā)布一個惡意程序包,且每個帳戶只發(fā)布一個,這種方式可以有效繞過電子郵件OTP驗證。

研究人員說:“這是軟件供應鏈攻擊的一個里程碑,標志著供應鏈攻擊者正在不斷提高技能并讓防御變得更加艱難?!薄巴ㄟ^跨多個用戶名分發(fā)惡意軟件包,攻擊者使防御者更難完全關聯(lián)和防御,增加感染的機會?!?

參考鏈接:

https://checkmarx.com/blog/a-beautiful-factory-for-malicious-packages/


 
 

上一篇:2022年3月30日聚銘安全速遞

下一篇:俄烏沖突對全球IT外包行業(yè)帶來不利影響