ReversingLabs的安全研究人員在周三告示，npm包存儲(chǔ)庫上發(fā)現(xiàn)了一個(gè)新的惡意軟件活動(dòng)，揭示了一種感染開發(fā)人員系統(tǒng)的新方法。與典型的惡意軟件不同，這種攻擊不僅會(huì)傳遞惡意代碼，還會(huì)將其隱藏在用戶計(jì)算機(jī)上已安裝的合法軟件中。

該活動(dòng)圍繞兩個(gè)包展開，即ethers-provider2和ethers-providerz，它們最初看起來是無害的下載者。然而，這些包悄悄地用惡意文件“修補(bǔ)”了一個(gè)名為ethers的流行npm包，ethers是一種廣泛使用的與以太坊區(qū)塊鏈交互的工具。這種經(jīng)過修改的ethers版本隨后打開了一個(gè)后門，使攻擊者能夠遠(yuǎn)程訪問受感染的系統(tǒng)。

使這種攻擊脫穎而出的是攻擊者隱藏其有效載荷的努力程度。ReversingLabs在發(fā)布之前與Hackread.com分享的分析顯示，該惡意軟件不遺余力地掩蓋其蹤跡，甚至刪除了感染過程中使用的臨時(shí)文件，這在典型的基于npm的惡意軟件中很少見。

研究人員在他們的博客文章中指出：“這些規(guī)避技術(shù)比我們以前在基于npm的下載器中觀察到的更徹底、更有效?！?/p>

即使刪除最初的惡意軟件包也不能保證安全，因?yàn)楦暮蟮膃thers軟件包如果重新安裝，可能會(huì)持續(xù)存在并重新感染自己。

該攻擊通過下載幾個(gè)階段的惡意軟件來實(shí)現(xiàn)。初始下載器抓取第二階段，然后檢查ethers包的存在。如果找到，它會(huì)用修改后的版本替換核心文件，下載并執(zhí)行最后一個(gè)階段——一個(gè)允許攻擊者完全控制的反向shell。

雖然ethers providerz已從npm中刪除，但ethers-provider2在發(fā)布時(shí)仍然可用，并已向npm維護(hù)人員報(bào)告。研究人員還發(fā)現(xiàn)了與同一活動(dòng)相關(guān)的其他包，如復(fù)制安全帽和@theological123/提供者，這兩個(gè)包現(xiàn)在都已被刪除。

ReversingLabs發(fā)布了一項(xiàng)YARA規(guī)則，以幫助開發(fā)人員檢測(cè)其本地安裝的ethers包是否已被泄露。

這一事件很好地提醒我們，npm上的惡意包仍然是一個(gè)大問題。盡管2024年惡意軟件數(shù)量略有下降，但攻擊者仍不斷想出新的伎倆來進(jìn)入軟件供應(yīng)鏈。開發(fā)人員需要保持謹(jǐn)慎，并使用強(qiáng)有力的安全措施來保護(hù)自己和項(xiàng)目的安全。

本公眾號(hào)所發(fā)布的文章皆源自于互聯(lián)網(wǎng)轉(zhuǎn)載或作者投稿并授予的原創(chuàng)作品，文章末尾有詳細(xì)出處標(biāo)注，其內(nèi)含內(nèi)容及圖片之版權(quán)均屬于原網(wǎng)站或作者本人，本公眾號(hào)對(duì)此不持立場(chǎng)，若發(fā)現(xiàn)有非故意侵權(quán)或轉(zhuǎn)載失當(dāng)之處，敬請(qǐng)隨時(shí)聯(lián)系我們進(jìn)行妥善處理！文章來源：https://hackread.com/npm-malware-infects-ethereum-library-with-backdoor/

及時(shí)掌握網(wǎng)絡(luò)安全態(tài)勢(shì) 盡在傻蛋網(wǎng)絡(luò)安全監(jiān)測(cè)系統(tǒng)

【網(wǎng)絡(luò)安全監(jiān)管部門】免費(fèi)試用

本文來源:互聯(lián)網(wǎng)

如涉及侵權(quán)，請(qǐng)及時(shí)與我們聯(lián)系，我們會(huì)在第一時(shí)間刪除或處理侵權(quán)內(nèi)容。
電話：400-869-9193 負(fù)責(zé)人：張明