聚焦源代码安全,网罗国内外最新资讯!
编译:代码卫士
未知威胁行动者正在利用恶意的npm包攻击开发人员,以期从受害者机器窃取源代码和配置文件。
Checkmarx 公司发布报告指出,“该活动幕后的威胁行动者和2021年的一场恶意活动有关。此后他们一直在发布恶意包。”Phylum 公司曾在本月初披露称,大量npm模块用于将有价值的信息提取到远程服务器。
从设计上来讲,这些程序包被配置为通过 package.json 文件中定义的安装后的 hook 立即执行,触发preinstall.js 的启动,从而使 index.js 捕获系统元数据并从特定目录中收割源代码和机密信息。
当脚本创建数据的ZIP 文档并将其传输至预定义的 FTP 服务器时,攻击达到高超。连接所有包的一个常见特征是,将 “lexi2” 作为 package.json 文件中的作者,从而使 Checkmarx 将该活动的源头追溯至2021年。虽然该攻击的确切目标尚不明朗,但程序包名称的使用如 binarium-client、binarium-crm和 rocketrefer 说明攻击旨在密币行业。
安全研究员 Yehuda Gelb 提到,“密币行业仍然是备受欢迎的目标,我们并不止与恶意包斗争,还与花费数月甚至数年时间持续谋划攻击的持久性对手斗争,认识到这一点很重要。”
代码卫士试用地址:https://codesafe.qianxin.com
开源卫士试用地址:https://oss.qianxin.com
推荐阅读
原文链接
https://thehackernews.com/2023/08/malicious-npm-packages-aim-to-target.html
题图:Pixabay License
本文由奇安信编译,不代表奇安信观点。转载请注明“转自奇安信代码卫士 https://codesafe.qianxin.com”。
奇安信代码卫士 (codesafe)
国内首个专注于软件开发安全的产品线。
觉得不错,就点个 “在看” 或 "赞” 吧~