[[430488]]

惡意NPM包在Windows、Linux和macOS設(shè)備上運(yùn)行加密貨幣挖礦機(jī)。

Sonatype自動惡意軟件檢測系統(tǒng)在本月注冊的npm中發(fā)現(xiàn)了3個惡意npm包。這些惡意NPM包偽裝成合法的JS庫，并在Windows、macOS和Linux機(jī)器上運(yùn)行加密貨幣挖礦機(jī)。

這3個惡意npm包是：

• okhsa
• klow
• klown

okhsa包的不同版本中含有在Windows機(jī)器上啟動計算器APP的代碼。此外，這些版本中都依賴惡意的klow或klown npm包。

Okhsa的manifest文件package.json表明klown也是依賴文件。

Okhsa的manifest文件package.json

這些包都是同一個開發(fā)者發(fā)布的：

惡意包的開發(fā)者主頁

Sonatype安全研究人員發(fā)現(xiàn)klow被npm移除后幾小時內(nèi)klown就出現(xiàn)了。Klown偽裝為一個合法的JS庫——UA-Parser-js，幫助開發(fā)者從用戶代理http header中提取硬件特征，比如操作系統(tǒng)、CPU、瀏覽器等。

Klown偽裝成合法JS庫——“UA-Parser-js”

Sonatype研究人員進(jìn)一步分析這些包發(fā)現(xiàn)，klow和klown中都包含一個加密貨幣挖礦機(jī)。這些包會檢測當(dāng)前的操作系統(tǒng)，并根據(jù)運(yùn)行Windows系統(tǒng)或基于Unix的操作系統(tǒng)的用戶來運(yùn)行.bat或.sh腳本。然后這些腳本會下載一個exe或Linux ELF文件，并用指定挖礦池、挖礦錢包和使用的CPU線程數(shù)等參數(shù)來執(zhí)行二進(jìn)制文件。其中klown包中使用的batch腳本如下所示：

Klown包中的batch腳本截圖

該腳本會從185.173.36[.]219處下載一個jsextension.exe文件。該exe文件是一個知名的加密貨幣挖礦機(jī)。對Linux和macOS系統(tǒng)，會從相同的主機(jī)處下載一個“jsextension” ELF二進(jìn)制文件。

下圖是對加密貨幣挖礦可執(zhí)行文件的測試運(yùn)行情況：

目前還不清楚這些包的作者針對的開發(fā)者群體。目前沒有跡象表明這是一起錯誤輸入或依賴劫持攻擊。但Klow(n)偽裝成合法的UAParser.js庫文件，使得其看起來是一個弱的品牌劫持攻擊廠商。

Sonatype安全研究團(tuán)隊在10月15日將發(fā)現(xiàn)的惡意包提交給了npm。幾小時后，這些惡意包就被npm安全團(tuán)隊刪除了。

本文翻譯自：https://blog.sonatype.com/newly-found-npm-malware-mines-cryptocurrency-on-windows-linux-macos-devices如若轉(zhuǎn)載，請注明原文地址。