60個(gè)npm包竊取系統(tǒng)敏感信息

安全研究人員在npm軟件包注冊(cè)表中發(fā)現(xiàn)60個(gè)惡意組件，這些組件能夠收集主機(jī)名、IP地址、DNS服務(wù)器和用戶目錄信息，并將其發(fā)送至Discord平臺(tái)控制的終端節(jié)點(diǎn)。據(jù)Socket安全研究員Kirill Boychenko上周發(fā)布的報(bào)告顯示，這些由三個(gè)不同賬戶發(fā)布的軟件包均攜帶安裝時(shí)腳本，會(huì)在npm install命令執(zhí)行時(shí)觸發(fā)。這些惡意庫已被累計(jì)下載超過3000次。

"該腳本針對(duì)Windows、macOS和Linux系統(tǒng)，包含基本的沙盒逃逸檢測(cè)功能，使得每臺(tái)被感染的工作站或持續(xù)集成節(jié)點(diǎn)都可能成為有價(jià)值的偵察數(shù)據(jù)來源，"這家軟件供應(yīng)鏈安全公司指出。三個(gè)發(fā)布賬戶（每個(gè)賬戶在11天內(nèi)發(fā)布了20個(gè)包）分別為：

• bbbb335656
• cdsfdfafd1232436437
• sdsds656565

（上述賬戶現(xiàn)已被npm平臺(tái)移除）

高級(jí)指紋收集與規(guī)避技術(shù)

Socket分析表明，惡意代碼專門設(shè)計(jì)用于對(duì)安裝該包的每臺(tái)機(jī)器進(jìn)行指紋識(shí)別，同時(shí)會(huì)在檢測(cè)到亞馬遜、谷歌等虛擬化環(huán)境時(shí)中止執(zhí)行。收集的主機(jī)詳情、系統(tǒng)DNS服務(wù)器、網(wǎng)卡(NIC)信息及內(nèi)外網(wǎng)IP地址等數(shù)據(jù)，最終會(huì)傳輸至Discord的Webhook接口。

"通過收集內(nèi)外網(wǎng)IP地址、DNS服務(wù)器、用戶名和項(xiàng)目路徑，攻擊者能夠繪制網(wǎng)絡(luò)拓?fù)鋱D，為后續(xù)攻擊行動(dòng)識(shí)別高價(jià)值目標(biāo)，"Boychenko解釋道。

偽裝成流行框架的破壞性組件

此次披露還涉及另外8個(gè)npm包，它們偽裝成React、Vue.js、Vite、Node.js等流行JavaScript框架及開源Quill編輯器的輔助庫，安裝后卻會(huì)部署破壞性負(fù)載。這些已被下載6200余次的惡意包目前仍可從倉庫獲取：

• vite-plugin-vue-extend
• quill-image-downloader
• js-hood
• js-bomb
• vue-plugin-bomb
• vite-plugin-bomb
• vite-plugin-bomb-extend
• vite-plugin-react-extend

"這些包偽裝成合法插件和工具，暗中攜帶旨在破壞數(shù)據(jù)、刪除關(guān)鍵文件并使系統(tǒng)崩潰的惡意負(fù)載，長(zhǎng)期未被發(fā)現(xiàn)，"Socket研究員Kush Pandya表示。部分惡意包會(huì)在開發(fā)者調(diào)用時(shí)自動(dòng)執(zhí)行，遞歸刪除與Vue.js、React和Vite相關(guān)的文件，其他則專門破壞基礎(chǔ)JavaScript方法或篡改localStorage、sessionStorage和cookies等瀏覽器存儲(chǔ)機(jī)制。

其中js-bomb包不僅會(huì)刪除Vue.js框架文件，還會(huì)根據(jù)執(zhí)行時(shí)的系統(tǒng)時(shí)間觸發(fā)關(guān)機(jī)操作。經(jīng)溯源，這些活動(dòng)與名為xuxingfeng的威脅行為者有關(guān)，該攻擊者同時(shí)發(fā)布了5個(gè)功能正常的合法包。"這種同時(shí)發(fā)布有害和有益軟件包的雙重策略，營造出合法表象，使惡意包更容易獲得信任并被安裝，"Pandya補(bǔ)充道。

釣魚攻擊與npm包的組合利用

近期還發(fā)現(xiàn)一種新型攻擊活動(dòng)，將傳統(tǒng)電子郵件釣魚與偽裝成良性開源庫的惡意npm包中的JavaScript代碼相結(jié)合。Fortra研究員Israel Cerda指出："建立通信后，該包會(huì)加載并交付第二階段腳本，使用受害者電子郵件地址定制釣魚鏈接，將其引導(dǎo)至偽造的Office 365登錄頁面以竊取憑證。"

攻擊始于包含惡意.HTM文件的釣魚郵件，其中含有托管在jsDelivr上的加密JavaScript代碼，關(guān)聯(lián)一個(gè)名為citiycar8（現(xiàn)已被移除）的npm包。安裝后，包內(nèi)嵌的JavaScript負(fù)載會(huì)啟動(dòng)URL重定向鏈，最終將用戶導(dǎo)向偽造的登錄頁面。

"這次釣魚攻擊展現(xiàn)出高度復(fù)雜性，攻擊者將AES加密、通過CDN分發(fā)的npm包以及多重重定向等技術(shù)串聯(lián)，掩蓋其惡意意圖，"Cerda強(qiáng)調(diào)。

VS Code擴(kuò)展竊取加密貨幣憑證

開源倉庫的濫用已成為大規(guī)模供應(yīng)鏈攻擊的慣用手法。近期，微軟VS Code應(yīng)用商店中也發(fā)現(xiàn)針對(duì)Windows平臺(tái)Solidity開發(fā)者的惡意擴(kuò)展程序，專門竊取加密貨幣錢包憑證。Datadog安全研究團(tuán)隊(duì)將此次活動(dòng)歸因于代號(hào)MUT-9332的威脅行為者，涉及的擴(kuò)展包括：

• solaibot
• among-eth
• blankebesxstnion

"這些擴(kuò)展偽裝成合法工具，將惡意代碼隱藏在真實(shí)功能中，使用的命令控制域名與Solidity相關(guān)，通常不會(huì)被標(biāo)記為惡意，"Datadog研究人員表示。所有三個(gè)擴(kuò)展都采用復(fù)雜的感染鏈，包含多階段混淆惡意軟件，其中一個(gè)甚至將負(fù)載隱藏在Internet Archive托管的圖片文件中。

這些擴(kuò)展宣稱能為Solidity開發(fā)者提供語法掃描和漏洞檢測(cè)功能，實(shí)際卻會(huì)竊取Windows系統(tǒng)上的加密貨幣錢包憑證。其最終目的是植入基于Chromium的惡意瀏覽器擴(kuò)展，劫掠以太坊錢包并泄露至命令控制(C2)服務(wù)器。

該惡意軟件還能安裝獨(dú)立可執(zhí)行程序，用于捕獲鍵盤輸入并掃描Discord、Chromium瀏覽器、加密貨幣錢包及Electron應(yīng)用的數(shù)據(jù)目錄。MUT-9332還被認(rèn)定是近期10個(gè)惡意VS Code擴(kuò)展活動(dòng)的幕后黑手，這些擴(kuò)展偽裝成編程或人工智能工具安裝XMRig加密貨幣挖礦程序。

"此活動(dòng)展現(xiàn)出MUT-9332在隱藏惡意意圖方面令人驚訝的創(chuàng)造力，"Datadog警告稱，"這些負(fù)載更新表明攻擊可能會(huì)持續(xù)，首批惡意VS Code擴(kuò)展的檢測(cè)和下架可能促使MUT-9332在后續(xù)行動(dòng)中改變策略。"