网络安全警报:MUT-8694 供应链攻击以 npm 和 PyPI 生态系统为目标

阅读量36436

发布时间 : 2024-11-27 10:59:50

x
译文声明

本文是翻译文章,文章原作者 do son,文章来源:securityonline

原文地址:https://securityonline.info/cybersecurity-alert-mut-8694-supply-chain-attack-targets-npm-and-pypi-ecosystems/

译文仅供参考,具体内容表达以及含义原文为准。

MUT-8694 threat actor

开源生态系统再次成为网络犯罪分子的战场,因为 Datadog 的安全研究团队发现了一个名为 MUT-8694 的神秘威胁行为者发起的协调供应链攻击。该行为者利用恶意 npm 和 PyPI 软件包,发起了一场广泛的活动,旨在渗透开发人员的环境,主要针对 Windows 用户。

2024 年 10 月 10 日,Datadog 的 CLI 工具 GuardDog 检测到一个名为 larpexodus 的恶意 PyPI 软件包。该软件包包含一个 PowerShell 命令,可下载并执行托管在 GitHub 上的 Windows 二进制程序,该程序后来被确认为 Blank Grabber 信息窃取程序。Datadog 指出: “npm和PyPI上的恶意软件包通常通过使用typosquatting伪装成合法软件包。”

这些软件包利用开发人员的常见错误(如输入错误)来发送混淆的恶意软件。例如,在 npm 生态系统中,发现 nodelogic 软件包使用安装后钩子来执行恶意 JavaScript,从而获取类似的信息窃取程序有效载荷。

MUT-8694 的活动主要采用两种类型的恶意软件:

  • Blank Grabber

Blank Grabber 由一个开源项目编译而成,是一种针对以下目标的多功能信息窃取程序:

  • Roblox cookie
  • 加密货币钱包
  • 浏览器密码
  • 电报会话

它还能通过高级 PowerShell 命令禁用 Windows Defender,确保持久性和隐蔽性。Datadog 评论说: “该恶意软件具有一定的规避能力,还有针对Roblox cookies、加密货币钱包、浏览器密码、Telegram会话等的窃取代码。”

  • Skuld Stealer

该恶意软件使用 Go 语言编写,主要针对 Discord 用户,采用了强大的规避技术,如虚拟机检测、令牌窃取和浏览器凭据提取。Skuld Stealer将二进制文件复制到Windows启动目录,并将自己伪装成合法服务,从而确保持久性。

Datadog的分析发现,有42个恶意PyPI包和18个npm包链接到该活动,每个包都模仿合法库。PyPI软件包谎称可以解决DLL和API问题,而许多npm软件包提到了Roblox开发,这表明它们专门针对该社区。

威胁者利用 GitHub 和 repl.it 承载恶意有效载荷,利用这些合法平台逃避检测。Datadog警告说:“反复使用混淆和使用公开可用的信息窃取程序……说明了该威胁行为者的适应性和持久性。”

本文翻译自securityonline 原文链接。如若转载请注明出处。
分享到:微信
+10赞
收藏
安全客
分享到:微信

发表评论

内容需知
合作单位
  • 安全客
  • 安全客
Copyright © 北京奇虎科技有限公司 三六零数字安全科技集团有限公司 安全客 All Rights Reserved 京ICP备08010314号-66