锦鲤安全(Koi Security)开展的一项最新调查显示,npm 代码仓库中潜藏着一起手法极为高超的供应链攻击。一款名为 lotusbail 的恶意包伪装成合规的 WhatsApp 网页版 API 库,长达 6 个月时间里诱骗超 5.6 万名开发者将其集成至自身项目中。
该恶意包是基于合规热门库 @whiskeysockets/baileys 二次开发的分支版本,表面上完全兑现功能承诺:可支持开发者搭建 WhatsApp 机器人及各类集成应用,但在正常功能之下,却隐藏着能造成毁灭性后果的恶意载荷。
lotusbail 的阴险之处在于其功能完备性。不同于那些常会导致受感染应用崩溃的低端恶意软件,这款恶意包运行毫无异常。安装该包的开发者会看到自身 WhatsApp 集成功能正常运转,完全不会怀疑其中藏有猫腻。
报告指出:“该恶意包已在 npm 平台上架 6 个月,截至本报告撰写时仍未被下架”,凸显这起攻击事件持续时间之长,令人心惊。
然而,就在应用替用户正常发送消息的同时,该恶意包还在暗中向攻击者传输敏感信息。报告明确,其恶意载荷属于高级恶意软件,具体行为包括:窃取用户 WhatsApp 账号凭证、拦截所有消息、盗取联系人列表、植入持久化后门,且所有窃取数据均会加密后发送至攻击者服务器。
lotusbail 的与众不同之处,在于这起攻击背后体现出的专业级开发素养。攻击者并非简单编写恶意代码,而是以商业软件厂商的严谨标准对恶意程序进行防护。
分析结果显示,该恶意包内置 27 个无限循环陷阱,专门用于冻结试图调试代码的安全研究人员的设备;这些陷阱会检测进程参数、识别沙箱环境,以此规避安全分析。
更具黑色讽刺意味的是,攻击者还严格遵循编码最佳实践。研究人员发现:“他们甚至在代码中添加注释,清晰标记恶意代码段 —— 将专业开发规范用在了供应链攻击上,恐怕有人还专门用 Jira 看板跟进这项攻击开发进度。”
lotusbail 最危险的特质或许是其顽固性:仅卸载受感染的恶意包根本无法彻底清理系统,该恶意软件会植入持久化后门,即便原始恶意文件被删除,后门仍会留存。
正如报告中给出的警示结论:“即便恶意包已被卸载,攻击者依然能持续访问你的系统。”
这起事件暴露出现代开发流程中的核心漏洞:信誉评级系统与静态分析工具往往会放行那些看似流行且功能正常的软件包,而 lotusbail 凭借 5.6 万次下载量,成功骗过了各类自动化检测工具。
锦鲤安全最终总结道:“这款恶意软件恰好藏身在‘代码能正常运行’与‘代码只做标称功能’的监管盲区之中。”
发表评论
您还未登录,请先登录。
登录