HackerNews 编译,转载请注明出处:
网络安全研究人员发现名为“os-info-checker-es6”的恶意npm包,其伪装成操作系统信息工具,在受感染系统中秘密投递下一阶段恶意载荷。Veracode在向《黑客新闻》提供的报告中指出:“该攻击活动采用基于Unicode的隐写术隐藏初始恶意代码,并通过Google Calendar短链接动态分发最终载荷。”
“os-info-checker-es6”由用户“kim9123”于2025年3月19日上传至npm仓库,截至5月15日已被下载2001次。该用户还上传了另一个名为“skip-tot”的npm包(下载量94次),其中将“os-info-checker-es6”列为依赖项。虽然前五个版本未显现数据窃取或恶意行为,但2025年5月7日更新的版本在“preinstall.js”文件中植入混淆代码,通过解析Unicode“私有使用区”字符提取下一阶段载荷。
恶意代码通过向Google Calendar事件短链接(calendar.app[.]google/<字符串>)发送Base64编码字符串(解码后指向IP地址140.82.54[.]223的远程服务器)建立通信。Veracode指出:“攻击者利用Google Calendar这类受信任的合法服务作为中间层托管C2链接,这种策略能有效规避检测并增加攻击初始阶段的阻断难度。”目前尚未发现后续载荷分发,可能表明攻击活动仍处于测试阶段、暂时休眠或已结束,亦或C2服务器仅响应特定条件的设备。
应用安全公司Aikido补充指出,另有三个npm包(vue-dev-serverr、vue-dummyy、vue-bit)将“os-info-checker-es6”列为依赖项,怀疑属于同一攻击活动。Veracode强调:“该恶意包展现了npm生态中复杂的多阶段攻击威胁,攻击者从测试行为逐步升级至部署成熟恶意软件。”
此次披露恰逢软件供应链安全公司Socket发布2025上半年威胁报告,指出攻击者主要采用六类技术:typosquatting(拼写劫持)、Go仓库缓存滥用、混淆代码、多阶段执行、slopsquatting(相似包劫持)以及合法服务与开发工具滥用。安全研究员Kirill Boychenko与Philipp Burckhardt建议:“防御者需关注安装后脚本异常、文件覆写及未经授权外联等行为特征,采用静态/动态分析、版本锁定及CI/CD日志审查等手段,在恶意依赖项进入生产环境前实施阻断。”
消息来源: thehackernews;
本文由 HackerNews.cc 翻译整理,封面来源于网络;
转载请注明“转自 HackerNews.cc”并附上原文
