HackerNews 编译,转载请注明出处:
Fortinet研究人员发现多个恶意NPM包被用于针对PayPal用户。这些包于3月初由名为tommyboy_h1和tommyboy_h2的攻击者上传至仓库,用于窃取PayPal凭证和劫持加密货币转账。
“使用与PayPal相关的名称有助于这些恶意包躲避检测,使攻击者更容易窃取敏感信息。通过在恶意包名称中加入‘PayPal’,例如oauth2-paypal和buttonfactoryserv-paypal,攻击者还营造了一种虚假的合法性,诱使开发者安装它们。”Fortinet发布的分析报告中指出,“该代码会收集并传输系统数据,如用户名和目录路径,这些数据随后可用于针对PayPal账户或出售以用于欺诈目的。”
恶意NPM包利用预安装钩子运行隐藏脚本,窃取系统信息,混淆数据,并将其传输至攻击者控制的服务器,以便用于未来的攻击。
Fortinet研究人员建议留意假冒的PayPal相关包,检查网络日志以查找异常连接,清除威胁,更新凭证,并在安装包时保持谨慎。
同一攻击者很可能创建了tommyboy_h1和tommyboy_h2这两个恶意包,以针对PayPal用户。
“tommyboy_h1和tommyboy_h2的作者很可能是同一个人,在短时间内发布了多个恶意包。我们怀疑同一作者创建了这些包,目的是针对PayPal用户。”报告总结道,“我们敦促公众在下载包时保持谨慎,并确保它们来自可信来源,以避免成为此类攻击的受害者。”
消息来源:securityaffairs;
本文由 HackerNews.cc 翻译整理,封面来源于网络;
转载请注明“转自 HackerNews.cc”并附上原文
