查看原文
其他

NPM恶意中暗藏恶意软件 TurkoRat

Ax Sharma 代码卫士
2024-08-22

 聚焦源代码安全,网罗国内外最新资讯!

编译:代码卫士

npm 包仓库中存在两个恶意包,其中隐藏着开源的信息窃取恶意软件TurkoRat。

这两个恶意包是 nodejs-encrypt-agent 和 nodejs-cookie-proxy-agent,总下载量约为1200次,在被找到前已存在两个多月的时间。

ReveringLabs 公司指出,TurkoRat 是一款信息窃取工具,能够收割敏感信息如登录凭据、网站cookie以及密币钱包数据。nodejs-encrypt-agent 中含有恶意软件,而 nodejs-cookie-proxy-agent 木马伪装成名为 axios-proxy 的依赖。Nodejs-encrypt-agent 也伪装成另外一款合法的 npm 模块 agent-base,机制目前下载量已超过2500万次。

恶意包及其关联版本如下:

  • nodejs-encrypt-agent (版本6.0.2、6.0.3、6.0.4 和 6.0.5)

  • nodejs-cookie-proxy-agent(版本1.1.0、1.2.0、1.2.1、1.2.2、1.2.3和 1.2.4)以及

  • axios-proxy(版本1.7.3、1.7.4、1.7.7、1.7.9、1.8.9和1.9.9)

研究员表示,“虽然TurkoRat 仅仅是许多开源恶意软件家族中用于‘测试’的一员,但它也可被下载并修改利用。”这一案例再次说明威胁行动者通过开源包实施供应链攻击,诱骗开发人员下载潜在的不受信任的代码。

研究员提到,“开发组织机构应该审查所依赖的开源、第三方和商业代码的特性和行为”,追踪依赖并检测其中潜在的 payload。”

恶意npm包的不断增长与威胁者对开源软件供应链兴趣增高有关,更何况威胁行动者不断加深的复杂性。更令人担忧的是,Checkmarx 公司本月发布研究报告显示,威胁行动者“使用小写字母模拟原始包名称中的大写字母”,以模拟真正的 npm 包(如 memoryStorageDriver和memorystoragedriver)。

研究人员提到,“该恶意包模拟将传统的 typosquatting 攻击方法更新到新高度,攻击者所注册的包名称中所包含的字母与合法包中的字母完全一样,唯一区别就是大小写。这使得用户更难以检测到欺骗行为。”Checkmarx 公司表示,在3815个包中,1900个包的名称中含有大写字母,如不即使解决将存在山寨风险,而这种情况早在2017年12月就已存在。

不久前 Check Point 公司在 VS Code扩展应用市场中发现了三个恶意扩展:prettiest java、Darcula Dark 和 python-vscode。它们的总下载量已超过4.6万次,其中集成的特性可使威胁行动者窃取凭据、系统信息并在受害者及其上设立远程 shell。

不只是npm 和 VS Code 应用商店,恶意库也现身于 PyPI 中。其中一些包旨在传播密币剪贴恶意软件 KEKW,其它恶意包旨在模拟热门 flask 框架,接收远程服务器命令。本周,以色列公司 Phylum 发现另外一个 python 包中包含一个恶意依赖,利用加密 payload 抓取 Discord 令牌并窃取剪贴板那内容,以劫持密币交易。该包名为 chatgpt-api,可通过 GitHub 访问,声称能够提供 ChatGPT 工具的功能,目前仍然存在。

研究员提到,“目前,威胁者似乎通过 chatgpt-api 包觊觎最近LLM的大规模增长。”威胁者可能具有自动化机制,每次被下架时,都会上传该恶意依赖的新版本,“维持持久性感染”。


代码卫士试用地址:https://codesafe.qianxin.com
开源卫士试用地址:https://oss.qianxin.com









推荐阅读

奇安信入选全球《软件成分分析全景图》代表厂商

黑客在 NPM 中注入恶意包,发动 DoS 攻击

NPM仓库遭逾1.5万个垃圾邮件包的钓鱼攻击

周下载量近400万次的NPM流行包可遭劫持,可影响千余家组织机构

新型NPM计时攻击可导致供应链攻击,GitHub 不打算修复

LofyGang 组织利用200个恶意NPM包投毒开源软件



原文链接

https://thehackernews.com/2023/05/developer-alert-npm-packages-for-nodejs.html


题图:Pexels License


本文由奇安信编译,不代表奇安信观点。转载请注明“转自奇安信代码卫士 https://codesafe.qianxin.com”。




奇安信代码卫士 (codesafe)

国内首个专注于软件开发安全的产品线。

    觉得不错,就点个 “在看” 或 "赞” 吧~

继续滑动看下一个
代码卫士
向上滑动看下一个

您可能也对以下帖子感兴趣

文章有问题?点此查看未经处理的缓存