十几个NPM恶意包劫持 Discord 服务器
编译:代码卫士
研究人员发现,NPM包Registry 上出现了至少17个恶意包。此前攻击者通过开源软件仓库如 PyPi 和 RubyGems 等托管和分发恶意软件。
目前这些恶意包已被删除,它们的目的是盗取 Discord 访问令牌和环境变量并且完全控制受害者系统。
研究人员指出,“这些包的 payload 各不相同,包括信息窃取工具到完全远程访问后门等不一而足。另外,这些包拥有不同的感染技术,如typosquatting、依赖混淆以及木马功能。“
这些恶意包是:
prerequests-xcode (版本1.0.4)
discord-selfbot-v14 (版本 12.0.3)
discord-lofy (版本 11.5.1)
discordsystem (版本 11.5.1)
discord-vilao (版本 1.0.0)
fix-error (版本 1.0.0)
wafer-bind (版本 1.1.2)
wafer-autocomplete (版本 1.25.0)
wafer-beacon (版本 1.3.3)
wafer-caas (版本 1.14.20)
wafer-toggle (版本 1.15.4)
wafer-geolocation (版本 1.2.10)
wafer-image (版本 1.2.2)
wafer-form (版本 1.30.1)
wafer-lightbox (版本 1.5.4)
octavius-public (版本 1.836.609)
mrg-message-broker (版本 9998.987.376)
此前研究结果显示,协作和通信工具如 Discord 和Slack 已成为网络犯罪分子的便利机制,Discord 服务器已被集成到攻击链中,被用于远程控制受感染机器,甚至提取受害者数据。
网络安全公司 Zscaler 在今年2月份分析指出,“网络犯罪分子正在使用 Discord CDN 托管恶意文件并用于命令和控制通信。该静态内容分发服务在威胁者之间十分流行,被用于托管恶意附件,即使Discord 删除了真正的文件,这些附件仍然可公开访问。“
因此,攻击者盗取 Discord 访问令牌将 Discord 作为隐秘的数据提取信道、向其它Discord 用户分发恶意软件甚至将 Discord Nitro 付费账户出售给其它第三方也就不令人奇怪了。
更令人担心的是,软件包 “prerequests-xcode” 是一个全方位的远程访问木马、DiscordRAT 的 Node.JS 端口,用于抓取截屏、收集剪贴板数据、执行任意 VBScript 和 PowerShell 代码、窃取密码并下载恶意文件,从而使攻击者能够接管开发者系统。
最近,越来越多的攻击者使用恶意包作为隐秘的攻陷向量,从而执行大量恶意活动如供应链攻击等。研究人员指出,“公开库已成为恶意软件分发的便利工具:该仓库的服务器是一个可信任资源,与服务器的通信也不会引起杀软或防火墙的怀疑。另外,通过自动化工具如 NPM 客户端等进行安装也成为一种成熟的攻击向量。“
热门NPM库 “coa” 和“rc” 接连遭劫持,影响全球的 React 管道
注意!恶意NPM包正在安装勒索软件和密码窃取木马
https://thehackernews.com/2021/12/over-dozen-malicious-npm-packages.html
题图:Pixabay License
本文由奇安信编译,不代表奇安信观点。转载请注明“转自奇安信代码卫士 https://codesafe.qianxin.com”。
奇安信代码卫士 (codesafe)
国内首个专注于软件开发安全的产品线。