在大规模的软件供应链攻击中,发现密码窃取程序通过ChromePass从Windows系统上的Chrome窃取凭据。ChromePass是一款适用于Windows的小型密码恢复工具,可用于查看Chrome浏览器存储的用户名和密码。对于每个密码条目,将显示以下信息:源URL、操作URL、用户名字段、密码字段、用户名、密码和创建时间。它允许用户从当前运行的系统或存储在外部驱动器上的用户配置文件中获取密码。研究人员在npm的开源代码存储库中发现了一个使用合法密码恢复工具的凭据窃取代码炸弹,它潜伏在那里,以便机会主义地植入从该源提取代码的庞大应用程序中。研究人员发现,受感染的npm存储库中植入了恶意软件,这些恶意软件会从Windows系统上的Chrome浏览器中窃取凭据。密码窃取器是多功能的:它侦听来自攻击者的命令和控制(C2)服务器的传入命令,并且能够上传文件、从受害者的屏幕和网络摄像头记录以及执行shell命令。据介绍,主要威胁来自nodejs_net_server和temptesttempfile这两个软件包。通过静态分析,研究人员在多个版本的nodejs_net_server包中发现了Win32.Infostealer.Heuristics文件。它的元数据显示文件的原始名称是“a.exe”,它位于“lib”文件夹中。研究人员指出,具有类似扩展名的单字母文件名会向威胁猎人发出危险信号。事实证明,a.exe就是前面提到的ChromePass:一种用于恢复存储在Chrome浏览器中的密码的合法工具。nodejs_net_server包的作者从一开始就没有在其中植入密码窃取程序,研究人员发现作者通过12个版本对nodejs_net_server包进行了增强,直到去年12月升级为脚本植入密码窃取程序。研究人员于7月2日联系了npm安全团队,告知他们他们的存储库中存在一个威胁安全的软件包。直到那些包被删除。最后,作为Web开发者,您对使用npm包有什么建议吗?还是坚持只使用自己的代码,不引入任何第三方包?本文转自OSCHINA。密码窃取工具本文地址:https://www.oschina.net/news/152135/npm-package-steals-chrome-passwords
