恶意NPM包在Windows、Linux和macOS设备上运行加密货币矿工。Sonatype的自动恶意软件检测系统在本月的npm注册中发现了3个恶意npm包。这些恶意NPM包伪装成合法的JS库,并在Windows、macOS和Linux机器上运行加密货币矿工。这三个恶意npm包是:okhsaklowklownokhsa包包含在Windows机器上启动计算器应用程序的不同版本的代码。此外,这些版本都依赖于恶意的klow或klownnpm包。Okhsa的清单文件package.json显示klown也是一个依赖文件。Okhsa的清单文件package.json这些包都是由同一个开发者发布的:Sonatype安全研究人员发现klown被npm删除后的几个小时内出现在恶意包的开发者主页上。Klown伪装成一个合法的JS库——UA-Parser-js,帮助开发者从用户代理http头中提取操作系统、CPU、浏览器等硬件特征。Klown伪装成一个合法的JS库——“UA-Parser-js”Sonatype研究人员进一步分析了这些包,发现klow和klown都包含一个加密货币矿机。这些软件包检测当前操作系统并根据用户运行的是Windows系统还是基于Unix的操作系统运行.bat或.sh脚本。然后,脚本会下载一个exe或LinuxELF文件,并使用指定矿池、挖矿钱包和要使用的CPU线程数的参数执行二进制文件。klown包中使用的批处理脚本如下:Klown包中的批处理脚本截图该脚本会从185.173.36[.]219下载一个jsextension.exe文件。该exe文件是一个著名的加密货币矿工。对于Linux和macOS系统,从同一主机下载“jsextension”ELF二进制文件。以下是加密货币挖掘可执行文件的测试运行:尚不清楚这些包的作者针对的是哪个开发人员组。目前没有迹象表明这是拼写错误或依赖项劫持攻击。但Klow(n)伪装成合法的UAParser.js库文件,使其看起来像一个弱品牌劫持攻击厂商。Sonatype安全研究团队于10月15日将发现的恶意包提交给npm,数小时后,该恶意包被npm安全团队移除。本文翻译自:https://blog.sonatype.com/newly-found-npm-malware-mines-cryptocurrency-on-windows-linux-macos-devices如有转载请注明出处。
