HackerNews 编译,转载请注明出处:
网络安全研究人员发现针对GlueStack相关组件的供应链攻击,超过12个软件包被植入恶意代码。据Aikido Security向The Hacker News透露,攻击者通过篡改“lib/commonjs/index.js”文件注入恶意程序,可执行shell命令、截取屏幕截图并上传受感染设备文件,这些软件包周下载量合计近100万次。
未授权访问权限可被用于加密货币挖矿、窃取敏感信息甚至关闭服务等后续攻击。Aikido表示首次检测到软件包被入侵发生在2025年6月6日21:33(GMT)。受影响软件包及版本如下:
- @gluestack-ui/utils 0.1.16(101次下载)@react-native-aria/button 0.2.11(174次下载)
恶意代码与上月npm软件包“rand-user-agent”被攻破后分发的远程访问木马相似,表明可能系同一攻击者所为。该木马升级版新增两条指令:收集系统信息(“ss_info”)和获取主机公网IP(“ss_ip”)。项目维护方已撤销访问令牌并将受影响版本标记为弃用,建议用户回退至安全版本。
Aikido声明强调:“潜在影响规模巨大,木马的持久化机制尤其危险——即使维护者更新软件包,攻击者仍能持续访问受感染设备。”
恶意npm软件包具备破坏性功能
安全机构Socket同期发现两个伪装成合法工具的恶意npm包——express-api-sync(下载量112次)和system-health-sync-api(下载量861次)。前者在收到硬编码密钥“DEFAULT_123”的HTTP请求后,会执行“rm -rf *”命令递归删除当前目录所有文件。后者则兼具信息窃取与破坏功能,并根据操作系统切换删除命令(Windows执行“rd /s /q .”,Linux执行“rm -rf *”)。
安全研究员Kush Pandya指出:“express-api-sync是钝器,system-health-sync-api则是配备情报收集功能的瑞士军刀级破坏工具。”该软件包通过硬编码SMTP凭证(用户名auth@corehomes[.]in,Base64编码密码)以邮件为隐蔽通信信道,所有关键事件均会发送至anupm019@gmail.com。攻击者可通过“//system/health”和“//sys/maintenance”端点触发破坏命令,后者作为主后门被封锁时的备用机制。
PyPI软件包伪装Instagram工具窃取凭证
软件供应链安全公司同时在Python包索引(PyPI)发现名为imad213的凭证窃取程序,下载量达3,242次。该程序冒充Instagram涨粉工具,使用Base64编码隐藏恶意行为,并通过Netlify托管文件实现远程紧急停止开关。执行时会诱导用户输入Instagram凭证,随后将凭证发送至10个第三方机器人服务。
该程序由用户im_ad__213(又名IMAD-213)上传,其同期发布的其他三个恶意软件包包括:
- taya(930次下载):窃取Facebook/Gmail/Twitter/VK凭证a-b27(996次下载):功能同上poppo213(3,165次下载):利用Apache Bench发动DDoS攻击
攻击者在GitHub文档中声称该库“仅用于教育研究”,并建议用户使用临时账户避免主账户风险。安全人员指出这实为制造虚假安全感。程序启动后先验证外部服务器文本文件内容是否为“imad213”,通过验证才继续执行。凭证除本地保存为“credentials.txt”外,同时发送至多个土耳其Instagram涨粉工具关联域名(注册于2021年6月)。
Socket警告:“10个机器人服务同时接收凭证,显示凭证洗白(credential laundering)的早期迹象——通过多服务分发掩盖凭证来源。”
消息来源: thehackernews;
本文由 HackerNews.cc 翻译整理,封面来源于网络;
转载请注明“转自 HackerNews.cc”并附上原文
