当前位置:首页 > 黑客技术 > 正文内容

基于800个恶意 NPM 包的大规模供应链攻击

访客55年前 (1970-01-01)黑客技术1047

一个名为“RED-LILI”的攻击者发布了近800个恶意模块,与正在进行的针对 NPM 软件包库的大规模供应链攻击活动联系紧密。

以色列安全公司 Checkmarx 说: “通常,攻击者使用一个匿名的一次性 NPM 帐户发动攻击。”“这一次,攻击者似乎已经完全自动化了 NPM 帐户的创建过程,并且开设了专用帐户,每个包一个账户,这使得他的新恶意软件包更难被发现。”

这些发现建立在 JFrog 和  Sonatype 近期的报告的基础上,这两份报告详细介绍了数百个 NPM 软件包,这些软件包利用依赖项混淆和类型定位等技术来针对 Azure、 Uber 和 Airbnb 的开发者。

根据对 RED-LILI 作案手法的详细分析,异常行为的最早痕迹发生在2022年2月23日,在一周的时间里,大量恶意软件包呈爆发式分发。

具体来说,将rogue库上传到 NPM (Checkmarx 称之为“工厂”)的自动化过程包括同时使用自定义 Python 代码和 Selenium 等 web 测试工具,以模拟所需的用户操作,好在注册表中复制用户创建过程。

为了通过 NPM 设置的一次性密码验证屏障,攻击者利用一个名为Interactsh 的开放源码工具将 NPM 服务器发送的 OTP 提取到注册过程中提供的电子邮件地址,高效地使帐户创建请求成功。

有了这个全新的 NPM 用户帐号,攻击者接着以自动的方式创建和发布一个恶意软件包,每个帐号只有一个,但不是在创建访问令牌之前,以便在不需要电子邮件 OTP 验证的情况下发布软件包。

研究人员说: “随着供应链攻击者提高他们的技能,防御者的工作会更加艰难,这次攻击标志着他们技术取得了极大进步。”“通过将软件包分发在多个用户名之间,攻击者使防御者更难将它们联系起来,并一举解决它们。而且,通过这种方式,设备会更容易被感染。”

消息来源:TheHackerNews,译者:Zoeppo;
本文由 HackerNews.cc 翻译整理,封面来源于 *** ;
转载请注明“转自 HackerNews.cc ” 并附上原文

扫描二维码推送至手机访问。

版权声明:本文由黑客技术发布,如需转载请注明出处。

本文链接:https://w-123.com/32123.html

“基于800个恶意 NPM 包的大规模供应链攻击” 的相关文章

黑客正在利用伪造的执法机构传票窃取苹果、Google 等公司的用户数据

据报道,犯罪黑客正在通过一种有效的、狡猾的技术用偷来的执法部门的电子邮件从大型科技公司、ISP、运营商和社交媒体公司窃取用户数据。据网络安全记者Brian Krebs称,更具体地说,攻击者显然正在伪装成执法官员以获取传票特权数据。 一般来说,他们使用被破坏的执法部门电子邮件账户。 这种策略还依赖于...

微软 Windows 受到 Hafnium 恶意软件 “Tarrask” 的集团化攻击

对微软Exchange服务器造成严重破坏的臭名昭著的Hafnium黑客组织回来了。但这一次,微软清楚地知道这个国家支持的威胁行为者团体的活动意图,该组织正在利用”Tarrask”恶意软件来瞄准并不断削弱Windows操作系统的防御能力。 微软检测和响应小组(DART)在一篇博文中解释说,Hafni...

开源模块维护者破坏代码,只为抗议乌克兰战争

Hackernews 编译,转载请注明出处: 一个广泛应用于 Windows、 Linux 和 Mac 环境的开源模块的维护者最近破坏了它的功能,以抗议乌克兰的战争,大众再次将注意力集中在与软件代码依赖相关的潜在的严重安全问题上。 Node-ipc 是一个用于进程间通信的 JavaScrip...

透明部落黑客针对印度官员发动新一轮黑客攻击

 Hackernews 编译,转载请注明出处: 从2021年6月,一个可能来自巴基斯坦的攻击者与一个针对感兴趣目标的后门攻击有关,该攻击使用了一种基于 windows 的远程访问木马,名为 CrimsonRAT。 Cisco Talos公司的研究人员在与The Hacker New...

Chrome 新增 Privacy Guide:帮用户理解和实施安全设置

适用于桌面 PC 和笔记本的 Chrome 稳定版将新增“Privacy Guide”功能,它将帮助该网络浏览器的用户理解和实施隐私、安全和在线安全设置。虽然 Chrome 浏览器一直有大部分的这些设置,但现在 Google 声称隐私和安全控制应该更容易理解。 图片链接:https://static...

美参议员关注黑客利用警察的电子邮件账户窃取用户数据一事

美国参议院议员开始注意到关于黑客伪造”紧急数据请求”以获取苹果等科技公司数据的报道,其中一位开始调查隐私问题。3月29日,一份报告显示,黑客正在利用其所俘获的政府和警察电子邮件账户,使他们能够假装成执法官员。通过使用电子邮件账户和连接服务,黑客能够在某些情况下向科技公司索取数据。 具体来说,黑客们...

评论列表

痴者掩灼
2年前 (2022-06-02)

”消息来源:TheHackerNews,译者:Zoeppo;本文由 HackerNews.cc 翻译整理,封面来源于网络;转载请注明“转自 HackerNews.cc ” 并附上原文

发表评论

访客

◎欢迎参与讨论,请在这里发表您的看法和观点。