60個npm包竊取系統(tǒng)敏感信息

安全研究人員在npm軟件包注冊表中發(fā)現(xiàn)60個惡意組件，這些組件能夠收集主機名、IP地址、DNS服務器和用戶目錄信息，并將其發(fā)送至Discord平臺控制的終端節(jié)點。據Socket安全研究員Kirill Boychenko上周發(fā)布的報告顯示，這些由三個不同賬戶發(fā)布的軟件包均攜帶安裝時腳本，會在npm install命令執(zhí)行時觸發(fā)。這些惡意庫已被累計下載超過3000次。

"該腳本針對Windows、macOS和Linux系統(tǒng)，包含基本的沙盒逃逸檢測功能，使得每臺被感染的工作站或持續(xù)集成節(jié)點都可能成為有價值的偵察數據來源，"這家軟件供應鏈安全公司指出。三個發(fā)布賬戶（每個賬戶在11天內發(fā)布了20個包）分別為：

• bbbb335656
• cdsfdfafd1232436437
• sdsds656565

（上述賬戶現(xiàn)已被npm平臺移除）

高級指紋收集與規(guī)避技術

Socket分析表明，惡意代碼專門設計用于對安裝該包的每臺機器進行指紋識別，同時會在檢測到亞馬遜、谷歌等虛擬化環(huán)境時中止執(zhí)行。收集的主機詳情、系統(tǒng)DNS服務器、網卡(NIC)信息及內外網IP地址等數據，最終會傳輸至Discord的Webhook接口。

"通過收集內外網IP地址、DNS服務器、用戶名和項目路徑，攻擊者能夠繪制網絡拓撲圖，為后續(xù)攻擊行動識別高價值目標，"Boychenko解釋道。

偽裝成流行框架的破壞性組件

此次披露還涉及另外8個npm包，它們偽裝成React、Vue.js、Vite、Node.js等流行JavaScript框架及開源Quill編輯器的輔助庫，安裝后卻會部署破壞性負載。這些已被下載6200余次的惡意包目前仍可從倉庫獲?。?/p>

• vite-plugin-vue-extend
• quill-image-downloader
• js-hood
• js-bomb
• vue-plugin-bomb
• vite-plugin-bomb
• vite-plugin-bomb-extend
• vite-plugin-react-extend

"這些包偽裝成合法插件和工具，暗中攜帶旨在破壞數據、刪除關鍵文件并使系統(tǒng)崩潰的惡意負載，長期未被發(fā)現(xiàn)，"Socket研究員Kush Pandya表示。部分惡意包會在開發(fā)者調用時自動執(zhí)行，遞歸刪除與Vue.js、React和Vite相關的文件，其他則專門破壞基礎JavaScript方法或篡改localStorage、sessionStorage和cookies等瀏覽器存儲機制。

其中js-bomb包不僅會刪除Vue.js框架文件，還會根據執(zhí)行時的系統(tǒng)時間觸發(fā)關機操作。經溯源，這些活動與名為xuxingfeng的威脅行為者有關，該攻擊者同時發(fā)布了5個功能正常的合法包。"這種同時發(fā)布有害和有益軟件包的雙重策略，營造出合法表象，使惡意包更容易獲得信任并被安裝，"Pandya補充道。

釣魚攻擊與npm包的組合利用

近期還發(fā)現(xiàn)一種新型攻擊活動，將傳統(tǒng)電子郵件釣魚與偽裝成良性開源庫的惡意npm包中的JavaScript代碼相結合。Fortra研究員Israel Cerda指出："建立通信后，該包會加載并交付第二階段腳本，使用受害者電子郵件地址定制釣魚鏈接，將其引導至偽造的Office 365登錄頁面以竊取憑證。"

攻擊始于包含惡意.HTM文件的釣魚郵件，其中含有托管在jsDelivr上的加密JavaScript代碼，關聯(lián)一個名為citiycar8（現(xiàn)已被移除）的npm包。安裝后，包內嵌的JavaScript負載會啟動URL重定向鏈，最終將用戶導向偽造的登錄頁面。

"這次釣魚攻擊展現(xiàn)出高度復雜性，攻擊者將AES加密、通過CDN分發(fā)的npm包以及多重重定向等技術串聯(lián)，掩蓋其惡意意圖，"Cerda強調。

VS Code擴展竊取加密貨幣憑證

開源倉庫的濫用已成為大規(guī)模供應鏈攻擊的慣用手法。近期，微軟VS Code應用商店中也發(fā)現(xiàn)針對Windows平臺Solidity開發(fā)者的惡意擴展程序，專門竊取加密貨幣錢包憑證。Datadog安全研究團隊將此次活動歸因于代號MUT-9332的威脅行為者，涉及的擴展包括：

• solaibot
• among-eth
• blankebesxstnion

"這些擴展偽裝成合法工具，將惡意代碼隱藏在真實功能中，使用的命令控制域名與Solidity相關，通常不會被標記為惡意，"Datadog研究人員表示。所有三個擴展都采用復雜的感染鏈，包含多階段混淆惡意軟件，其中一個甚至將負載隱藏在Internet Archive托管的圖片文件中。

這些擴展宣稱能為Solidity開發(fā)者提供語法掃描和漏洞檢測功能，實際卻會竊取Windows系統(tǒng)上的加密貨幣錢包憑證。其最終目的是植入基于Chromium的惡意瀏覽器擴展，劫掠以太坊錢包并泄露至命令控制(C2)服務器。

該惡意軟件還能安裝獨立可執(zhí)行程序，用于捕獲鍵盤輸入并掃描Discord、Chromium瀏覽器、加密貨幣錢包及Electron應用的數據目錄。MUT-9332還被認定是近期10個惡意VS Code擴展活動的幕后黑手，這些擴展偽裝成編程或人工智能工具安裝XMRig加密貨幣挖礦程序。

"此活動展現(xiàn)出MUT-9332在隱藏惡意意圖方面令人驚訝的創(chuàng)造力，"Datadog警告稱，"這些負載更新表明攻擊可能會持續(xù)，首批惡意VS Code擴展的檢測和下架可能促使MUT-9332在后續(xù)行動中改變策略。"