过去6个月,在开发者下载量最大的JavaScript包库npm中发现了1300多个恶意包。这种恶意组件数量的快速增长也反映出npm正在成为一个恶意软件分发平台。开源安全和管理公司WhiteSource的新研究发现,恶意npm包的数量出现了令人不安的增长,这些包主要用作Web应用程序的组件。任何使用此恶意代码块的应用程序都可能使其用户面临数据盗窃、加密劫持、僵尸网络等攻击。该公司表示,在发现的恶意软件包中,有14%的目的是窃取证书等敏感信息,而近82%的软件包是侦察用户信息,攻击者采用主动或被动方式收集目标信息。相关信息。npm包每周下载量超过200亿次,恶意代码安装在全球无数软件和应用程序的网络组件中,允许攻击者利用它们获取大量资产。据WhiteSource称,平均每月发布32,000个新的npm包版本(每天17,000个),整整68%的开发人员依靠它来创建在线功能。研究人员表示,这种级别的活动可能允许威胁行为者发起一系列软件供应链攻击。因此,WhiteSource调查了npm中的恶意攻击活动,在2021年发现了1300多个恶意包。这些恶意包后来被删除,但在删除之前,它们可能已经被引入到大量应用程序中。他们在报告中写道,攻击者正专注于为自己的目的利用npm恶意包。在这些供应链攻击中,攻击者通过感染现有组件将他们的攻击向上游移动,而这些组件跟随分布式下游并且可能安装了数百万次。研究人员指出,由于每个月都会发布大量的npm包,一些恶意包也很容易从裂缝中溜走。为什么要攻击npm?据WhiteSource称,JavaScript是迄今为止最常用的编程语言,全球约有1640万JavaScript开发人员。研究人员表示,正是由于JavaScript生态系统在互联网应用程序和系统中的普遍存在,它才成为攻击者的目标。研究人员表示,Npm本身是最受欢迎的包管理器和注册表之一,包含超过180万个活动包,每个包平均有12.3个版本。像Npm这样的包注册表也存储包、与它们相关的元数据以及安装它们所需的配置参数,所有这些都可能成为攻击媒介。因此,尤其是在跟踪软件包版本时,IT很难跟上进度。此外,虽然npm和其他注册中心在JavaScript的开发中发挥着不可或缺的作用,但它们执行的安全标准最低,因为它们中的大多数是由开源社区维护和验证的,这也使得攻击者的攻击时机已经成熟。事实上,攻击者一定已经意识到利用npm的可能性,并且在去年的几次攻击中也针对用户的注册表。1月,攻击者使用npm传播CursedGrabber恶意软件,该恶意软件窃取Discord令牌以启动对用户帐户和服务器的攻击。然后在7月,研究人员发现了一个恶意npm包,它通过使用Chrome的帐户恢复工具窃取密码。12月,攻击者再次使用npm攻击Discord。通过在包管理器中隐藏恶意代码来获取Discord令牌并接管毫无戒心的用户的帐户和服务器。常见恶意软件、攻击目标和影响WhiteSource研究人员报告了他们观察到的一些隐藏在恶意npm包中的常见恶意软件,其主要功能是窃取凭证和运行僵尸网络。WhiteSource在调查过程中发现的部分恶意包及其功能主要包括:mos-ass-loader和css-resources-loader,可以实施远程代码执行(RCE)攻击。circle-admin-web-app和browser-warning-ui,可以选择恶意外部包下载。@grubhubprod_cookbook,它主要用于依赖混淆。H98dx是一种在安装时运行的远程shell可执行文件,可以感染机器。Azure-web-pubsub-express,可以收集主机信息。研究人员还描述了他们在10月份观察到的供应链攻击,该攻击使用了流行的npm库ua-parser-js,该库解析用户代理字符串以识别用户的浏览器、操作系统、设备和其他属性。他们说,该图书馆每周的下载量超过700万次。研究人员解释说,攻击者使用ua-parser-js来利用软件供应链获取敏感数据。“在接管开发者的npm账户后,攻击者将恶意代码插入到三个版本的ua-parser-js文件中,”研究人员写道。还发布了该软件包的三个新版本,试图让用户下载它们。“该软件包的未受感染版本是0.7.28,但攻击者发布了相同的0.7.29、0.8.0和1.0.0软件包,每个软件包都包含恶意代码并在安装时激活。软件包的作者迅速做出回应,发布了研究人员补充说,0.7.30、0.8.1和1.0.1版本可以减轻攻击,并尽量将无意中安装恶意包的人数减少到最低限度。研究人员发现开发人员应该非常警惕周末下载npm包的时候,也是攻击者发布恶意包最多的时候。这可能是因为上班的人少,所以他们的活动更容易被发现。注意。本文翻译自:https://threatpost.com/malicious-npm-packages-web-apps/178137/如有转载请注明原文地址。
