NPM恶意中暗藏恶意软件 TurkoRat
编译:代码卫士
这两个恶意包是 nodejs-encrypt-agent 和 nodejs-cookie-proxy-agent,总下载量约为1200次,在被找到前已存在两个多月的时间。
ReveringLabs 公司指出,TurkoRat 是一款信息窃取工具,能够收割敏感信息如登录凭据、网站cookie以及密币钱包数据。nodejs-encrypt-agent 中含有恶意软件,而 nodejs-cookie-proxy-agent 木马伪装成名为 axios-proxy 的依赖。Nodejs-encrypt-agent 也伪装成另外一款合法的 npm 模块 agent-base,机制目前下载量已超过2500万次。
恶意包及其关联版本如下:
nodejs-encrypt-agent (版本6.0.2、6.0.3、6.0.4 和 6.0.5)
nodejs-cookie-proxy-agent(版本1.1.0、1.2.0、1.2.1、1.2.2、1.2.3和 1.2.4)以及
axios-proxy(版本1.7.3、1.7.4、1.7.7、1.7.9、1.8.9和1.9.9)
研究员表示,“虽然TurkoRat 仅仅是许多开源恶意软件家族中用于‘测试’的一员,但它也可被下载并修改利用。”这一案例再次说明威胁行动者通过开源包实施供应链攻击,诱骗开发人员下载潜在的不受信任的代码。
研究员提到,“开发组织机构应该审查所依赖的开源、第三方和商业代码的特性和行为”,追踪依赖并检测其中潜在的 payload。”
恶意npm包的不断增长与威胁者对开源软件供应链兴趣增高有关,更何况威胁行动者不断加深的复杂性。更令人担忧的是,Checkmarx 公司本月发布研究报告显示,威胁行动者“使用小写字母模拟原始包名称中的大写字母”,以模拟真正的 npm 包(如 memoryStorageDriver和memorystoragedriver)。
研究人员提到,“该恶意包模拟将传统的 typosquatting 攻击方法更新到新高度,攻击者所注册的包名称中所包含的字母与合法包中的字母完全一样,唯一区别就是大小写。这使得用户更难以检测到欺骗行为。”Checkmarx 公司表示,在3815个包中,1900个包的名称中含有大写字母,如不即使解决将存在山寨风险,而这种情况早在2017年12月就已存在。
不久前 Check Point 公司在 VS Code扩展应用市场中发现了三个恶意扩展:prettiest java、Darcula Dark 和 python-vscode。它们的总下载量已超过4.6万次,其中集成的特性可使威胁行动者窃取凭据、系统信息并在受害者及其上设立远程 shell。
不只是npm 和 VS Code 应用商店,恶意库也现身于 PyPI 中。其中一些包旨在传播密币剪贴恶意软件 KEKW,其它恶意包旨在模拟热门 flask 框架,接收远程服务器命令。本周,以色列公司 Phylum 发现另外一个 python 包中包含一个恶意依赖,利用加密 payload 抓取 Discord 令牌并窃取剪贴板那内容,以劫持密币交易。该包名为 chatgpt-api,可通过 GitHub 访问,声称能够提供 ChatGPT 工具的功能,目前仍然存在。
研究员提到,“目前,威胁者似乎通过 chatgpt-api 包觊觎最近LLM的大规模增长。”威胁者可能具有自动化机制,每次被下架时,都会上传该恶意依赖的新版本,“维持持久性感染”。
周下载量近400万次的NPM流行包可遭劫持,可影响千余家组织机构
https://thehackernews.com/2023/05/developer-alert-npm-packages-for-nodejs.html
题图:Pexels License
本文由奇安信编译,不代表奇安信观点。转载请注明“转自奇安信代码卫士 https://codesafe.qianxin.com”。
奇安信代码卫士 (codesafe)
国内首个专注于软件开发安全的产品线。