社区编辑申请
注册/登录
恶意NPM软件包瞄准德国公司进行供应链攻击
安全
研究人员称,这次攻击的目标非常明确,并且其掌握了非常机密的内部信息,甚至在NPM注册表中创建的用户名公开指向目标公司。

5月11日,网络安全研究人员在NPM注册表中发现了一些恶意软件包,专门针对一些位于德国的知名媒体、物流和工业公司进行供应链攻击。

JFrog研究人员在一份报告中表示,“与NPM库中发现的大多数恶意软件相比,这一有效负载危险性更高。它是一个高度复杂的、模糊的恶意软件,攻击者可以通过后门完全控制被感染的机器。”

DevOps公司表示,根据现有证据,这要么是一个复杂的威胁行为,要么是一个“非常激进”的渗透测试。

目前,大部分恶意软件包已经从注册表中移除,研究人员追踪到四个“维护者”bertelsmannnpm、boschnodemodules、stihlnodemodules和dbschenkernpm,这些用户名表明其试图冒充像贝塔斯曼、博世、Stihl和DB Schenker这样的合法公司。

“维护者”bertelsmannnpm

一些软件包的名称非常具体,它意味着对手设法识别了公司内部存储库中的库以进行依赖混淆攻击。

供应链攻击

上述发现来自Snyk的报告,该报告详细描述了其中一个违规的软件包“gxm-reference-web-aut -server”,并指出恶意软件的目标是一家在其私有注册表中有相同软件包的公司。

Snyk安全研究团队表示:“攻击者很可能在该公司的私人注册表中,掌握了这样一个包的存在信息。”

Reversing实验室证实了黑客攻击行为,称上传至NPM的恶意模块版本号比私有模块的版本号更高,从而迫使模块进入目标环境,这是依赖混淆攻击的明显特征。

该实验室解释“运输和物流公司的目标私有软件包有0.5.69和4.0.48版本,与恶意软件包的公开版本名称相同,但其使用的是版本0.5.70和4.0.49。”

JFrog称这种植入是“内部开发”,并指出该恶意软件包含两个组件,一个是传输器,它在解密和执行JavaScript后门之前,向远程遥测服务器发送有关被感染机器的信息。

后门虽然缺乏持久性机制,但设计用于接收和执行硬编码的命令和控制服务器发送的命令,评估任意JavaScript代码,并将文件上传回服务器。

研究人员称,这次攻击的目标非常明确,并且其掌握了非常机密的内部信息,甚至在NPM注册表中创建的用户名公开指向目标公司。

在此之前,以色列网络安全公司Check Point披露了一项长达数月的信息窃取活动,该活动使用AZORult、BitRAT、Raccoon等商用恶意软件攻击德国汽车行业。

参考链接:https://thehackernews.com/2022/05/malicious-npm-packages-target-german.html

责任编辑:赵宁宁 来源: FreeBuf.COM
相关推荐

2022-05-18 07:17:40

网络杀伤链攻击模型

2022-04-09 11:53:52

供应链攻击

2022-05-24 19:49:22

2022-04-28 09:46:20

Nginx文件Linux

2022-04-20 22:04:58

物联网安全勒索软件网络攻击

2022-05-17 09:19:17

XebianLinuxLinux 发行版

2022-04-21 14:29:40

前端文件预览

2022-05-18 20:28:23

数字化转型云计算

2022-04-24 10:12:25

Python软件包代码

2022-04-19 08:02:33

供应链企业数据分析

2022-05-24 15:55:37

避障小车华为

2022-05-12 14:44:38

数据中心IT云计算

2022-05-07 11:08:50

Linuxapt 命令

2022-05-11 17:16:42

人工智能机器人

2022-05-16 13:34:35

漏洞SonicWall攻击者

2022-04-25 13:18:13

加密货币金融安全

2022-03-30 13:22:25

区块链加密货币黑客

2022-02-21 10:12:20

供应链攻击网络攻击

2022-04-22 21:13:49

AlmaLinuxLinuxLinux 发行版

2022-04-21 16:16:29

勒索软件网络攻击农业

同话题下的热门内容

网传搜狐遭遇史诗级邮件诈骗,张朝阳回应来了网络安全攻防演练中不能忽视的API风险恶意技术时代下的负责任技术云原生时代来临,云安全技术将何去何从?38万个Kubernetes API服务器暴露在公网把手机变“肉鸡”—移动应用攻击的新特点与防护支付巨头PayPal曝大漏洞,黑客可直接窃取用户资金新型勒索软件Cheers正攻击VMware ESXi 服务器

编辑推荐

付费成人网站OnlyFans数百名创作者内容泄露,可能有你关注的YouTube博主2019年最近发现的网络安全事件权威解读 | 网络安全等级保护2.0标准体系以及主要标准2019年网络安全事件回顾(国际篇)2019年网络安全事件回顾(国内篇)
我收藏的内容
点赞
收藏

51CTO技术栈公众号