本周在 Node Package Manager (npm) 存储库中发现了四个包含高度混淆的恶意 Python 和 JavaScript 代码的包。
根据一个 报告
来自卡巴斯基的恶意软件包传播了“Volt Stealer”和“Lofy Stealer”恶意软件,从受害者那里收集信息,包括 Discord 令牌和信用卡信息,并随着时间的推移对其进行监视。
Volt Stealer 用于窃取 不和谐令牌 从受感染的计算机获取人们的 IP 地址,然后通过 HTTP 上传给恶意行为者。
Lofy Stealer 是一种新开发的威胁,可以感染 Discord 客户端文件并监视受害者的行为。例如,恶意软件会检测用户何时登录、更改电子邮件或密码详细信息,或者启用或禁用多重身份验证 (MFA)。它还监控用户何时添加新的支付方式,并收集完整的信用卡详细信息。然后将收集到的信息上传到远程端点。
软件包名称为“small-sm”、“pern-valids”、“lifeculer”和“proc-title”。虽然 npm 已将它们从存储库中删除,但任何已下载它们的开发人员的应用程序仍然是威胁。
黑客不和谐代币
以 Discord 为目标可以提供很大的影响力,因为被盗的 Discord 代币可以被用来对受害者的朋友进行鱼叉式网络钓鱼。但 Fortinet 的 FortiGuard 实验室首席安全策略师兼全球威胁情报副总裁 Derek Manky 指出,不同组织的攻击面当然会有所不同,具体取决于他们对多媒体通信平台的使用。
“由于与这些向量相关的攻击面的这些概念,威胁级别不会像我们过去看到的那样高到一级爆发 - 例如 Log1j,”他解释道。
Discord 的用户可以选择保护自己免受此类攻击:“当然,就像任何有针对性的应用程序一样,覆盖杀伤链是降低风险和威胁级别的有效措施,”Manky 说。
这意味着根据用户配置文件、网络分段等设置适当使用 Discord 的策略。
为什么 npm 成为软件供应链攻击的目标
npm 软件包存储库拥有超过 11 万用户,其托管的软件包下载量已达数百亿次。 经验丰富的 Node.js 开发人员和在其他活动中随意使用它的人都在使用它。
开源 npm 模块既可用于 Node.js 生产应用程序,也可用于不使用 Node 的应用程序的开发人员工具。如果开发人员无意中引入恶意软件包来构建应用程序,则该恶意软件可能会继续针对该应用程序的最终用户。因此,与针对单个公司的攻击相比,此类软件供应链攻击可以事半功倍。
“开发人员中的普遍使用使其成为一个大目标,”代码安全解决方案提供商 BluBracket 的产品和开发人员支持主管 Casey Bisson 表示。
Bisson 表示,Npm 不仅为大量目标提供了攻击向量,而且目标本身也超出了最终用户的范围。
他补充道:“企业和个人开发者通常拥有比普通人更多的资源,在开发者的机器或企业系统中取得滩头阵地后的横向攻击通常也相当有效。”
容器安全性和可观察性提供商 Tigera 的高级安全研究员 Garwood Pang 指出,虽然 npm 提供了最流行的 JavaScript 包管理器之一,但并不是每个人都精通如何使用它。
“这使开发人员可以访问庞大的开源包库来增强他们的代码,”他说。 “然而,由于易用性和列表数量,缺乏经验的开发人员可以在不知情的情况下轻松导入恶意软件包。”
然而,识别恶意软件包并不是一件容易的事。 Synopsys 网络安全研究中心的首席安全策略师 Tim Mackey 引用了构成典型 NodeJS 包的组件数量之多。
“当同一问题有许多不同的合法解决方案时,识别任何功能的正确实现就会受到挑战,”他说。 “添加一个恶意实现,然后可以被其他组件引用,这样任何人都很难确定他们选择的组件是否按照包装盒上的说明进行操作,并且不包含或引用不良内容功能。”
不仅仅是 npm:软件供应链攻击呈上升趋势
重大供应链攻击已经发生 重大影响 重点关注软件安全意识和决策,并计划在监控攻击面方面进行更多投资。
麦基指出,软件供应链一直是目标,特别是当人们看到针对购物车或开发工具等框架的攻击时。
“我们最近看到的是,我们过去归类为恶意软件或数据泄露的攻击实际上是对组织对其所创建和使用的软件的信任的损害,”他说。
麦基还表示,许多人认为供应商创建的软件完全是由该供应商编写的,但实际上,即使是最简单的软件也可能有数百个第三方库——正如 Log4j 惨败.
“这些库实际上是应用程序软件供应链中的供应商,但使用任何给定供应商的决定是由解决功能问题的开发人员做出的,而不是由关注业务风险的业务人员做出的,”他说。
这促使人们呼吁实施 软件物料清单 (SBOM)。 五月,MITRE 推出
信息和通信技术 (ICT) 的原型框架,用于定义和量化供应链(包括软件)的风险和安全问题。
