关键点
1. 在正在进行的活动中,威胁参与者正在利用 npm 包来瞄准开发人员窃取源代码和机密。
2. 该活动背后的攻击者疑似与早在 2021 年就已被发现的恶意活动有关。
3. 在本报告中,我们将分享与此攻击相关的新软件包和 IOC。
介绍
随着又一个威胁行为者的曝光,加密货币领域的开发人员再次成为攻击目标。该用户一直在发布恶意 NPM 软件包,目的是从受害者的计算机中窃取源代码和配置文件等敏感数据。
该活动背后的威胁行为者与 2021 年的恶意活动有关。此后,他们不断发布恶意代码。
最新一批活动发生在八月, 由 Phylum 发布。
在本报告中,我们将展示与该攻击者相关的新软件包和 IOC。值得注意的是,我们不仅仅面临恶意软件包问题;还存在恶意软件包问题。我们有一个对手的问题。 只有学习攻击者的策略、技术和程序(TTP),我们才能针对未来的攻击建立适当的防御。
深入研究代码
该威胁行为者使用的每个官方软件包都设计为在安装后自动执行。每个包包含三个文件 - package.json、preinstall.js 和 index.js。攻击流程如下:
1. 安装恶意软件包后, package.json文件中定义的 postinstall 挂钩 会触发preinstall.js 脚本。
2. preinstall.js 脚本利用名为“spawn”的方法来启动另一个名为index.js 的文件。本质上,它使 index.js 作为单独的进程运行,确保即使在主安装过程完成后它也能继续独立运行。
3. index.js脚本收集当前操作系统用户名和工作目录,并通过 HTTP GET 请求 将此 信息发送到预定义的服务器。
4. 然后,它会遍历托管计算机上的目录,针对特定目录(例如 .env、.gitlab 和 .github)以及扩展名为 .asp、.js 和 .php 的文件。更多地关注独特的源代码或配置文件。
5. 随后,它会压缩发现的目录,故意避免不可读的目录或现有的 .zip 文件。
6. 最后一步,它尝试将这些档案上传到预定义的 FTP 服务器。
这些软件包与加密货币领域相关,进一步巩固了他们的财务动机,并明确提到了 CryptoRocket 和 Binarium等实体。
追捕“lexi2”活动
更深入的调查揭示了一致的元数据属性:package.json 文件中的“author”字段引用“lexi2”作为作者。
维护跨不同开源存储库的所有开源包的综合数据池对于了解攻击者及其不断发展的策略、技术和程序 (TTP) 至关重要。利用此资源,我们针对数据库中的数十个其他恶意软件包交叉引用了“lexi2”和其他特定于代码的属性。我们的数据库分析表明,“lexi2”与最早可追溯至 2021 年的恶意软件包相关
解决对手问题
我们需要明白,在应对威胁行为者,尤其是 APT 时,仅仅报告和删除软件包并不足以阻止他们,我们需要作为一个行业向上移动“痛苦金字塔”来阻止 APT 攻击者。
我们开发了 YARA 规则来帮助识别和防止执行此信息窃取活动中使用的恶意脚本。
该规则以及不断更新的威胁检测签名集合可以在我们的存储库 os-scar/yara-signatures中找到。
结论
加密货币行业仍然是一个热门目标,重要的是要认识到,我们不仅要应对恶意软件包,还要应对顽固的对手,他们的持续和精心策划的攻击可以追溯到几个月甚至几年前。
删除最新一批恶意软件包的反应性对策只能暂时缓解问题,并不能解决问题的根源。防范这些持续不断的威胁需要更复杂的策略。
共享元数据和跟踪攻击者是这种更广泛的安全方法的重要组成部分。它超越了短期修复,而是深入研究了对攻击者行为和模式的持续监控和分析。网络安全社区内的协作和情报共享可以增强我们的防御能力,使生态系统对未来的攻击更具弹性。
软件包
完整的软件包列表可以在以下链接中找到:
https://gist.github.com/masteryoda101/01eee19e50054733dcde5b7364949550IOCs
178[.]128[.]27[.]205
185[.]62[.]56[.]25
185[.]62[.]57[.]60
198[.]199[.]83[.]132
1wy3rk316x8qqy4fyxtvcs4kkbq2es2h[.]oastify[.]com
288utkkrohmp0nr8znflcp88nztrhg[.]oastify[.]com
4or5o5yn5lqzenk4[.]b[.]requestbin[.]net
5[.]9[.]104[.]19
51[.]250[.]2[.]204
65[.]21[.]108[.]160
6wxd3v84nevku06dcgbqcxrmt[.]canarytokens[.]com
bind9-or-callback-server[.]com
bq5m9lnmalh9ktyi9wydockt9kfb32rr[.]oastify[.]com
c7kxnys58daceezcxx0jjstn6ec50vok[.]oastify[.]com
cczk46g2vtc0000k68dgggx31deyyyyyb[.]oast[.]fun
ck0r1hp2vtc00007c0zggjocy3ryyyyyb[.]oast[.]fun
cup1qnm56sdo4bdv[.]b[.]requestbin[.]net
efrva6[.]dnslog[.]cn
fhg62xavat9jzyt6euwxi6sro[.]canarytokens[.]com转载来源:https://checkmarx.com/blog/an-ongoing-open-source-attack-reveals-roots-dating-back-to-2021/?
图片来源网络侵权可联系删除
