在開(kāi)源JavaScript npm存儲(chǔ)庫(kù)中發(fā)現(xiàn)了一個(gè)名為aabquerys的包,它使用typosquatting技術(shù)來(lái)支持惡意組件的下載律杠。
這一發(fā)現(xiàn)來(lái)自ReversingLabs的安全研究人員,他們表示aabquerys能夠?qū)⒌诙偷谌A段的惡意軟件有效載荷下載到受感染的系統(tǒng)夭禽。
該公司在上周發(fā)布的一份報(bào)告中寫(xiě)道:“這個(gè)包的名稱(chēng)aabquerys也與另一個(gè)合法的npm模塊的名稱(chēng)類(lèi)似abquery,這是打字錯(cuò)誤的證據(jù),即試圖制造混亂苛谷,欺騙開(kāi)發(fā)人員下載惡意包而不是合法包「裼簦”
這項(xiàng)由ReversingLabs威脅研究人員Lucija Valentic和Karlo Zanki撰寫(xiě)的技術(shù)報(bào)告稱(chēng)腹殿,惡意包由兩個(gè)文件組成,其中一個(gè)通過(guò)JavaScript混淆器進(jìn)行了混淆例书。
研究人員寫(xiě)道:“開(kāi)源代碼的目的是讓所有人都能看到锣尉,所以應(yīng)該調(diào)查隱藏或隱藏開(kāi)源模塊內(nèi)功能的行為【霾桑”
在aabquerys的情況下自沧,有問(wèn)題的混淆代碼很容易去混淆。這顯示了一個(gè)明顯帶有惡意行為的JavaScript文件织狐≡萦祝”
據(jù)ReversingLabs稱(chēng),當(dāng)在PC上打開(kāi)該文件時(shí)移迫,會(huì)顯示一條虛假的網(wǎng)絡(luò)瀏覽器崩潰信息和一個(gè)鏈接旺嬉,該鏈接會(huì)導(dǎo)致下載第二階段的惡意軟件,該惡意軟件已被用于幾次惡意軟件攻擊厨埋。這反過(guò)來(lái)又加載了一個(gè)下載第三階段惡意組件的動(dòng)態(tài)鏈接庫(kù)(DLL)文件邪媳。
該文件被稱(chēng)為Demon.bin,是一個(gè)具有各種遠(yuǎn)程訪問(wèn)木馬(RAT)功能的惡意代理荡陷,據(jù)報(bào)道雨效,它是由惡意軟件作者C5pider使用開(kāi)源、后開(kāi)發(fā)废赞、命令和控制(C2)框架Havoc開(kāi)發(fā)的徽龟。
Valentic寫(xiě)道:“自從發(fā)現(xiàn)aabquerys包以來(lái),npm已經(jīng)將它與其他惡意包一起從他們的存儲(chǔ)庫(kù)中刪除了唉地【莼冢”
研究人員解釋說(shuō):“與此同時(shí),由負(fù)責(zé)的維護(hù)者發(fā)現(xiàn)的惡意包(以及其他證據(jù))凸顯了隱藏在npm耘沼、PyPI和GitHub等開(kāi)源存儲(chǔ)庫(kù)中的惡意包的風(fēng)險(xiǎn)越來(lái)越大极颓。這一風(fēng)險(xiǎn)要求開(kāi)發(fā)組織更加關(guān)注其開(kāi)源供應(yīng)鏈中惡意或可疑行為的跡象∪亨停”
例如菠隆,Sonatype在幾周前發(fā)布了一項(xiàng)新研究,表明去年12月在npm中發(fā)現(xiàn)了超過(guò)400個(gè)惡意包,在PyPI存儲(chǔ)庫(kù)中發(fā)現(xiàn)了數(shù)十個(gè)骇径。
