被特洛伊木马化的jQuery软件包通过“复杂”的供应链攻击传播

网络攻击者再次将目标对准了 JavaScript 开发人员——这一次是“复杂而持久的供应链攻击”，该攻击在 GitHub、Node Package Manager （npm） 和 jsDelivr 存储库中分发流行的 JavaScript 库 jQuery 的木马包。

每个软件包中都包含了一个jQuery的副本，但有一个细微的不同：end函数，作为jQuery原型的一部分，被修改以包含额外的恶意代码，设计用于提取网站表单数据并将其发送到众多URL之一。

Phylum研究团队指出，值得注意的是，攻击者展示出一种不同寻常的命名规则和归属模式的缺乏，这偏离了这类软件供应链攻击的典型特征；由于在各软件包之间具有高度的变化性，这一点显得尤为突出，团队在近期的博客文章中写道。

根据研究，自从5月26日起，未知的攻击者已经开始散布数十个恶意的jQuery软件包。Phylum的研究人员最初在npm（JavaScript运行时Node.js的默认包管理器）上发现了第一个恶意jQuery变体；此变体随后在一个多月的时间内在数十个npm软件包中发布。之后，研究人员在其他平台上，如GitHub，甚至在jsDelivr的CDN托管资源中发现了特洛伊木马化的jQuery实例。

研究人员说，到目前为止，已发布的包裹的数量“相对较小”，总共发现了约68个。这些软件包通常命名为jquery.min.js，还有其他变体如registration.min.js、icon.min.js和fontawesome.js。根据文章，“每个软件包的外泄URL几乎都是独一无二的，攻击者以新用户名在npm下发布。”有时，单一用户会发布多个相关联的恶意jQuery软件包，而其他时候，攻击者在同一项目中包含了多个具有不同名称的文件版本。此外，几乎每个软件包还包含了一些通常不在npm发布中出现的个人文件，如npm缓存文件夹、npm日志文件夹以及termux.properties文件。

“总体而言，这次攻击与我们以往在这个规模上所见到的大多数攻击不同，后者通常具有清晰、明确定义的模式和明显的自动化特征，”团队指出。“在这里，软件包的即兴性质和定制变化性，加上它们发布的长时间跨度，表明每个软件包可能是手工组装和发布的。”

是否进行有针对性的供应链攻击？

攻击的手动性质与证据相吻合，表明它似乎是有针对性的努力：恶意软件需要一组特定的受害者操作才能执行。

“要触发恶意软件，用户必须安装其中一个恶意软件包，使用包含的木马化jQuery文件，然后调用end函数或fadeTo函数，”该帖子称。

也就是说，虽然 end 函数本身似乎并没有在使用 jQuery 的开发中直接广泛使用，但来自 jQuery 动画工具包的 fadeTo 函数更广泛地使用了这种 end 方法，该团队指出。

“这种特定的条件链使得人们不清楚这是一次高度针对性的攻击，或者攻击者是否只是很好地融入并随机影响了下载和使用这些软件包的用户，”该帖子称。

此外，尽管触发恶意软件所需的“狭窄条件集”，但软件包的广泛分布意味着攻击可能具有广泛的影响，影响“许多毫无戒心的开发者”，这体现了“供应链威胁行为者日益增长的复杂性和潜在的广泛影响力”，团队强调。

需要提高警惕

事实上，恶意npm和其他代码包发布到流行开发者仓库已成为一个严重的安全问题，像朝鲜的Moonstone Sleet这样的国家资助的威胁行为者以及其他攻击者，正在利用这种策略来在整个软件供应链中注入恶意代码，从而以最小的努力达到广泛的攻击面。

供应链攻击利用代码仓库的数量增加，不仅要求开源社区（负责管理项目）保持更高的警觉，也要求组织在向开发者分发之前，扫描用于开发项目的任何代码。

为了帮助使用jQuery的开发者避免安装恶意软件包，Phylum的研究人员在博客文章中列出了与此次行动相关的所有软件包名称、它们的发布时间以及发布者的用户名。他们还列出了一系列与该活动相关的域名。