Datadog 安全研究团队发现 npm 生态系统遭遇重大供应链攻击,涉及 17 个恶意包(含 23 个版本),这些包会在 Windows 系统上秘密安装 Vidar 信息窃取恶意软件。该活动由威胁活动集群 MUT-4831 发起,是已知首例通过 npm 包分发 Vidar 的案例。
MUT-4831 的威胁行为者采用典型社会工程学策略,创建看似功能正常的合法包。这些恶意库由两个新注册的 npm 账户 aartje 和 saliii229911 发布,在注册表中活跃约两周。
恶意包伪装成以下类型:
- Telegram 机器人辅助工具包;
- 图标库;
- 知名项目(如 Cursor 和 React)的分支。
其中一个代表性包 custom-tg-bot-plan 自称“Node.js Telegram Bot API – 自定义分支”。截至检测时,这些包的下载量至少达 2,240 次。
恶意包利用了极为常见的攻击向量:postinstall 脚本。Datadog 的静态分析工具 GuardDog 标记了 npm-install-script 的存在,表明安装时会自动运行脚本。
攻击链遵循典型的两阶段恶意软件部署流程,由 dependencies.js 脚本执行:
- 下载:从 bullethost[.]cloud 域名的硬编码 URL 下载加密 ZIP 压缩包;
- 解压:使用硬编码密码解密并提取压缩包;
- 执行:运行提取出的 PE 二进制文件 bridle.exe 。
“这种下载器模式在恶意 npm 包中十分常见:随包分发的轻量级第一阶段恶意软件会加载更明显的第二阶段恶意载荷。”
部分包采用变体手法,在 package.json 中嵌入 PowerShell 脚本处理下载步骤,可能是为了“通过多样化实现……提高检测逃避能力”。
第二阶段的可执行文件 bridle.exe 被确认为已知的 Vidar 信息窃取恶意软件变体。Vidar 旨在从 Windows 系统窃取多种敏感信息:
- 浏览器凭据和 Cookie;
- 加密货币钱包;
- 系统文件。
此 Vidar v2 变体由 Go 语言编译,采用特殊的命令控制(C2)基础设施发现技术:它会连接硬编码的 Telegram 和 Steam 个人资料,通过账户用户名和描述动态轮换并公布 C2 域名。
成功窃取数据后,Vidar 会将信息打包外发,然后删除自身在受害者系统中的所有痕迹。
该活动有力地提醒我们:“威胁行为者已意识到,npm 是向不知情下游受害者交付恶意软件的可靠初始访问向量。”
目前,与该活动相关的 npm 账户(aartje 和 saliii229911)已被封禁,所有恶意包均已移除并替换为安全占位包。
发表评论
您还未登录,请先登录。
登录