在包注册表中发现了多达60个恶意npm包,具有恶意功能,可以将主机名、IP地址、DNS服务器和用户目录传输到Discord控制的端点。

这些软件包在三个不同的帐户下发布,附带在npm安装期间触发的安装时间脚本,Socket安全研究员Kirill Boychenko在上周发布的一份报告中说。图书馆被集体下载了3000多次。

“该脚本针对Windows,macOS或Linux系统,并包括基本的沙盒规避检查,使每个受感染的工作站或连续集成节点成为有价值的侦察的潜在来源,”软件供应链安全公司说。

下面列出了三个帐户的名称,每个帐户在11天内发布了20个软件包。帐户在npm上不再存在 –

    bbbb335656cdsfdfafd1232436437, andsdsds656565

根据Socket,恶意代码明确设计用于对安装软件包的每台机器进行指纹识别,同时如果检测到它在与亚马逊,Google和其他相关的虚拟化环境中运行,则也会中止执行。

收集的信息,包括主机详细信息,系统DNS服务器,网络接口卡(NIC)信息以及内部和外部IP地址,然后传输到Discord webhook“通过收集内部和外部IP地址,DNS服务器,用户名和项目路径,它使威胁行为者能够绘制网络并识别未来战役的高价值目标,”Boychenko说。披露之前,另一组8个npm包伪装成广泛使用的JavaScript框架的助手库,包括React,Vue.js,Vite,Node.js和开源Quill编辑器,但安装后会部署破坏性有效载荷。它们已被下载超过6,200次,仍然可以从存储库下载 –

    vite-plugin-vue-extendquill-image-downloaderjs-hoodjs-bombvue-plugin-bombvite-plugin-bombvite-plugin-bomb-extend, andvite-plugin-react-extend

“伪装成合法的插件和实用程序,同时秘密包含旨在损坏数据,删除关键文件和崩溃系统的破坏性有效载荷,这些软件包仍未被发现,”Socket安全研究员Kush Pandya说。

一些已识别的包一旦开发人员在其项目中调用它们,就会自动执行,从而能够递归删除与Vue.js,React和Vite相关的文件。其他设计用于破坏基本的JavaScript方法或篡改浏览器存储机制,如localStorage,sessionStorage和cookie。

另一个值得注意的包是js-bomb,它超越了删除Vue.js框架文件,还根据当前执行时间启动系统关闭。

该活动可以追溯到一个名为xuxingfeng的威胁行为者,他还发布了五个合法的,非恶意的软件包,按预期工作。部分流氓软件包于2023年发布。“这种释放有害和有用软件包的双重方法创造了合法性的外墙,使恶意软件包更有可能被信任和安装,”Pandya说。

调查结果还遵循了发现一种新颖的攻击活动,该活动将传统的电子邮件网络钓鱼与JavaScript代码相结合,该代码是伪装成良性开源库的恶意npm包的一部分。

“一旦建立通信,该软件包加载并交付了第二阶段脚本,该脚本使用受害者的电子邮件地址定制了钓鱼链接,导致他们进入一个旨在窃取其凭据的虚假Office 365登录页面,”Fortra研究员Israel Cerda说。

攻击的起点是包含恶意的钓鱼电子邮件。HTM文件,其中包括托管在jsDelivr上的加密JavaScript代码jsDelivr,citiycar8并与现在删除的名为citiycar8的npm包相关联。安装后,嵌入在包中的 JavaScript 有效载荷用于启动 URL 重定向链,最终将用户引导到旨在捕获其凭据的虚假着陆页。

“这种网络钓鱼攻击表现出高度的复杂性,威胁行为者将AES加密,通过CDN交付的npm包等技术以及多个重定向以掩盖其恶意意图,”Cerda说。

“这次袭击不仅说明了攻击者试图逃避检测的创造性方式,而且还强调了在不断变化的网络安全威胁环境中保持警惕的重要性。

滥用开源存储库进行恶意软件分发已成为大规模进行供应链攻击的久经考验的方法。最近几周,微软的Visual Studio Code(VS Code) Marketplace也发现了恶意数据窃取扩展,该扩展旨在通过针对Windows上的Solidity开发人员来窃取加密货币钱包凭据。

Datadog Security Research将该活动归因于其跟踪为MUT-9332的威胁行为者。扩展名如下:

    solaibotamong-eth, andblankebesxstnion

“扩展程序伪装成合法,在真实功能中隐藏有害代码,并使用似乎与Solidity相关的命令和控制域,通常不会被标记为恶意,”Datadog研究人员说。

“所有三个扩展都使用复杂的感染链,涉及混淆恶意软件的多个阶段,包括使用隐藏在互联网存档托管的图像文件中的有效载荷。

具体来说,这些扩展被宣传为为Solidity开发人员提供语法扫描和漏洞检测。虽然它们提供了真正的功能,但扩展也旨在提供恶意有效载荷,从受害者Windows系统窃取加密货币钱包凭据。三个扩展已经被删除。

VS Code扩展的最终目标是滑落基于Chromium的恶意浏览器扩展,该扩展程序能够掠夺以太坊钱包并将其泄漏到命令和控制(C2)端点。

它还配备了安装一个单独的可执行文件,禁用Windows Defender扫描,扫描Discord,基于Chromium的浏览器,加密货币钱包和Electron应用程序的应用程序数据目录,并从远程服务器检索和执行额外的有效载荷。

MUT-9332也被评估为最近披露的活动的幕后黑手,该活动涉及使用10个恶意VS Code扩展程序通过传递编码或人工智能(AI)工具来安装XMRig密码矿工。

“这次活动展示了MUT-9332在隐瞒其恶意意图时愿意付出的令人惊讶和创造性的长度,”Datadog说。“这些有效载荷更新表明,此活动可能会继续,并且检测和删除第一批恶意VS Code扩展可能会促使MUT-9332在随后的策略中改变策略。