黑客在 NPM 中注入恶意包,发动 DoS 攻击
编译:代码卫士
威胁行动者正在开源仓库 NPM 中注入恶意包,短暂地引发拒绝服务攻击。
Checkmarx 公司的研究员 Jossef Harush Kadouri 在上周发布的报告中指出,“威胁行动者创建恶意网站并发布内含恶意网站链接的空包,利用开源生态系统在搜索引擎方面的良好声誉,引发拒绝服务攻击,导致 NPM 出现 ‘服务不可用’ 错误的不稳定状况。”
虽然最近也发现推广钓鱼链接的攻击活动,但最近的这次拒绝服务攻击将大量包版本数量拉升到142万次,而npm 上发布的软件包数量大约为80万次。这一攻击技术利用的是开源包在搜索引擎结果上的较高排名,创建恶意网站,上传内含恶意网站链接的空 npm 模块。
Karush Kadouri 解释称,“由于开源生态系统在搜索引擎上的剩余良好,因此其中的任何新的开源包及其描述也具有良好声誉并在搜索引擎上获得良好索引,让毫不知情的用户更容易看到这些新的开源包。”鉴于整个流程是自动化的,通过发布无数包创建的加载导致 NPM 仓库在2023年3月短暂遭遇稳定性问题。
Checkmarx 公司指出,该攻击背后可能存在多个威胁行动者,他们的终极目标是通过恶意软件(如RedLine Stealer、Glupteba、SmokeLoader 和密币挖矿机)感染受害者的系统。其它链接诱骗用户通过一系列中间页面最终抵达合法的电商网站,从而通过用户购买商品的方式牟利。第三类是邀请俄罗斯用户加入某专注于密币的Telegram 频道。
Harush Kadouri 表示,“威胁行动者投毒软件供应链生态系统仍然是我们面临的挑战,攻击者通过新的预料之外的技术不断适应并使行业措手不及。”
Checkmarx 公司建议 NPM 在用户账户创建过程中融入反僵尸技术,防止此类自动化攻击活动。
周下载量近400万次的NPM流行包可遭劫持,可影响千余家组织机构
https://thehackernews.com/2023/04/hackers-flood-npm-with-bogus-packages.html
题图:Pixabay License
本文由奇安信编译,不代表奇安信观点。转载请注明“转自奇安信代码卫士 https://codesafe.qianxin.com”。
奇安信代码卫士 (codesafe)
国内首个专注于软件开发安全的产品线。