包藏祸心:npm 中的“os兼容”包

阅读量29983

发布时间 : 2024-01-22 11:02:12

这种大胆的妥协方法让黑客能够进入开源软件供应链。

最近在npm注册表中发现了一个恶意软件包,该软件包会向受感染的Windows计算机部署复杂的远程访问木马 ( RAT ) 。该软件包名为“os兼容”,于 2024 年 1 月 9 日发布,在被删除之前已被下载 380 次。

软件供应链安全 公司Phylum报告称 ,“os兼容”包含一个可执行文件、一个动态链接库 ( DLL ) 和一个加密的 DAT 文件,以及一个JavaScript文件。

在攻击过程中,JavaScript 文件(“index.js”)运行“autorun.bat”脚本,该脚本首先检查与Microsoft专有操作系统的兼容性,如果正常,则检查管理权限。如果它们不存在,则攻击将使用通过PowerShell启动的合法Edge浏览器组件“cookie_exporter.exe” 。

运行可执行文件会触发用户帐户控制 ( UAC ) 提示,需要管理凭据才能执行。

然后,攻击者使用DLL 搜索顺序劫持技术 启动上述 DLL(“msedge.dll”)来执行下一阶段的攻击。

该库的特洛伊版本旨在解密 DAT 文件(“msedge.dat”)并启动另一个库(“msedgedat.dll”),该库建立与黑客控制的域“kdark1[.]com”的连接以获取 ZIP 存档。

该存档包含AnyDesk 远程访问软件和远程访问木马,也打包在 DLL 库(“verify.dll”)中。该木马能够通过WebSockets接收来自命令和控制服务器的指令,并从主机收集敏感信息。

Phylum 报告称,该木马还在安全首选项文件中安装恶意扩展程序,该文件存储Chrome浏览器设置、与 AnyDesk 建立通信、运行虚假的 Windows 10 更新动画并阻止 Windows 关闭。

此时,攻击者可以对受感染电脑的程序和文件执行任何操作,而用户将无法发现这一点,甚至除了通过电源上的按钮以外的任何方式关闭电脑。通常没有人采取这种紧急措施,因此黑客肯定有足够的时间来实施任何恶意计划。

虽然“os兼容”似乎是该活动中使用的唯一 npm 模块,但研究人员的发现再次表明,攻击者越来越多地针对开源软件生态系统来进行供应链攻击。

Phylum 指出,“与通常用于攻击开源生态系统的过程相比,解密数据、使用已撤销的证书进行签名、从远程源下载其他文件以及尝试伪装成标准 Windows 更新过程相对复杂。”

Phylum 的调查是 在Aqua Security 的一份报告的背景下发布的,该报告显示,下载最多的 50,000 个 npm 软件包中约有 21% 已过时,使用户面临安全风险。这包括与包关联的已归档和已删除的 GitHub 存储库,以及那些在没有可见存储库、提交历史记录或问题跟踪的情况下维护的包。

本文转载自:

如若转载,请注明出处:

安全客 - 有思想的安全新媒体

分享到:微信
+10赞
收藏
安全客
分享到:微信

发表评论

内容需知
  • 投稿须知
  • 转载须知
  • 官网QQ群8:819797106
  • 官网QQ群3:830462644(已满)
  • 官网QQ群2:814450983(已满)
  • 官网QQ群1:702511263(已满)
合作单位
  • 安全客
  • 安全客
Copyright © 北京奇虎科技有限公司 360网络攻防实验室 安全客 All Rights Reserved 京ICP备08010314号-66