200多个恶意NPM程序包针对Azure 开发人员，发动供应链攻击

 聚焦源代码安全，网罗国内外最新资讯！

编译：代码卫士

JFrog 公司的研究员 Andrey Polkovnychenko 和 Shachar Menashe 在新发布报告中指出，“手动检测这些包之后发现它是针对整个 Azure NPM 生态的攻击，攻击者利用自动化脚本创建账户并上传覆盖整个生态系统的恶意程序包。”

在这些恶意包发布两天后，NPM维护人员发现了它们并快速删除，但此时每个程序包平均已被下载了大概50次。这种攻击被称为typosquatting，即恶意人员将恶意程序包的名称命名为和合法库类似的名称，诱骗用户进行安装。

在本案例中，攻击者创建了数十个名称和现有@azure范围内包名称类似的程序包，不过没有增加范围名称，如仿照@azure/core-tracing 创建的 core-tracing。

该攻击不仅利用了唯一用户名向仓库上传每个包以避免被怀疑，而且还具有高版本号如 99.10.9，说明旨在发动依赖混淆攻击。如果开发人员无意间下载了其中一个恶意包，则导致侦查 payload 列出目录并收集关于用户当前工作目录和与网络接口和DNS服务器相关的IP地址的信息，之后被提取到硬编码的远程服务器。

研究人员指出，“鉴于供应链攻击的急剧增长，尤其是通过NPM和PyPI 程序包仓库的攻击，需要开展更多的审查和缓解措施。例如，在NPM 用户创建时增加CAPTCHA 机制，将使攻击者难以创建任意数量的用户上传恶意包，且更容易发现这些攻击。”