5月11日,网络安全研究人员在NPM注册表中发现恶意包针对总部位于德国的一些知名媒体、物流和工业公司进行链式攻击。“这种有效负载比NPM存储库中发现的大多数恶意软件更危险,”JFrog研究人员在一份报告中说。完全控制受感染的机器。”这家DevOps公司表示,根据现有证据,这要么是一种复杂的威胁,要么是一次“非常激进”的渗透测试。大多数恶意软件包现已从注册表中删除,研究人员跟踪了下来四个“维护者”bertelsmannnpm、boschnodemodules、stihlnodemodules和dbschenkernpm,其用户名暗示试图冒充公司,如Bertelsmann、Bosch、Stihl和DBSchenker这样的合法公司。“Maintainer”bertelsmannnpm一些软件包具有非常具体的名称,这意味着对手设法在公司内部存储库中识别库以进行依赖混淆攻击供应链攻击以上发现来自Snyk的一份报告,其中详细说明了其中一个有问题的软件包“gxm-reference-web-aut-server”,并指出该恶意软件针对的是一家在其私人注册包公司中拥有相同软件的公司。Snyk安全研究团队表示:“attacker可能在公司的私有注册表中有关于此类包存在的信息。”该模块具有更高的版本号,从而迫使该模块进入目标环境,这是依赖混淆攻击的明显特征。“运输物流公司针对的私有软件包版本为0.5.69和4.0.48,与公开版恶意软件包同名,但使用的版本为0.5.70和4.0.49,”实验室解释。JFrog将植入程序称为“内部开发”,它指出该恶意软件由两个组件组成,一个是发射器,该发射器在解密和执行JavaScript后门之前将有关受感染机器的信息发送到远程遥测服务器。后门虽然缺乏持久性机制,但旨在接收和执行硬编码命令和控制服务器发送的命令,评估任意JavaScript代码,并将文件上传回服务器。根据研究人员的说法,这次攻击的目标非常明确,并且拥有非常机密的内部信息,甚至在NPM注册表中创建了公开指向目标公司的用户名。此前,以色列网络安全公司CheckPoint披露了一项长达数月的信息窃取活动,该活动使用AZORult、BitRAT、Raccoon等商用恶意软件攻击德国汽车行业。参考链接:https://thehackernews.com/2022/05/malicious-npm-packages-target-german.html
