JFrog研究人员AndreyPolkovnychenko和ShacharMenashe在一份报告中指出,截至3月21日,他们已经观察到不少于218个恶意NPM包。检查表明,这是一个新的大规模针对Azure开发人员的供应链攻击。攻击者使用自动脚本创建帐户并上传覆盖整个范围的恶意包,旨在窃取个人身份信息。除了针对@azure范围之外,@azure-rest、@azure-tests、@azure-tools和@cadl-lang也是目标。恶意包发布大约两天后,JFrog将其披露给NPM维护人员,后者立即将其删除;但在此之前,每个包平均被下载了大约50次。据介绍,攻击者使用的软件供应链攻击方式是域名仿冒,他们只是新建一个与现有@azure范围包同名的(恶意)包,但删除范围名称。这里有一个例子:这是一个合法的azurenpm包和它的恶意对应物”攻击者依赖这样一个事实,即一些开发人员在安装包时可能会错误地省略@azure前缀。例如,错误地运行npminstallcore-tracing,而不是正确的命令-npminstall@azure/core-tracing。”除了域名仿冒感染方式外,所有恶意包的版本号都非常高(例如99.10.9)。据研究人员称,这表明存在依赖混淆攻击。一种可能的猜想是,除了基于域名仿冒的普通npm用户外,攻击者还试图针对从Microsoft/Azure内部网络运行的开发人员和机器。JFrog建议Azure开发人员使用目标包通过检查其名称是否以@azure*范围开头来确保合法性。并表示由于供应链攻击(尤其是通过npm和PyPI包存储库)的快速上升,似乎应该增加更多的审查和缓解措施。比如在创建npm用户时加入CAPTCHA机制,攻击者就不会轻易创建任意数量的用户来上传恶意包,更容易识别攻击。除此之外,作为安全软件管理过程的一部分,也可能不可避免地需要基于SAST或DAST技术(或最好是两者)的自动包过滤。本文转自OSCHINA文章标题:研究发现超过200个针对Azure开发者的恶意NPM包本文地址:https://www.oschina.net/news/189049/large-scale-npm-attack-targets-天蓝色开发人员
