详细内容或原文请订阅后点击阅览
“Glup-debugger-log”:开发人员的假朋友窃取 PC 控制权
为什么恶意 Node.js 包仍然可以下载?
来源:安全实验室新闻频道Phylum 的网络安全研究人员在 Node.js 生态系统中发现了新的威胁。伪装成合法包“gulplog”的恶意包“glup-debugger-log”被上传到npm开放包注册表。
门 已找到 Node.js npm "glup-debugger-log", “吞咽日志”。乍一看,相关软件包似乎无害,尽管它是最近下载的并且名称中包含错误。然而,Phylum 专家透露了其真正目的——在受感染的系统上引入远程访问木马 (RAT)。
老鼠软件包“glup-debugger-log”已于大约两周前上传到 npm 平台,并且仍然可供下载。顺便说一句,截至该新闻发布时,它已经被下载了 180 次。这无疑使许多使用这种流行的项目构建工具的开发人员面临风险。
恶意包包含两个协同工作的加密 JavaScript 文件。第一个充当滴管,为全面的网络攻击做好准备。当满足某些条件时,它会危害目标计算机,然后下载其他恶意组件。
JavaScript第二个脚本为攻击者提供了永久远程访问权限来控制受感染的系统。成功实施后,该包会检查用户桌面文件夹中的文件数量。专家建议这样做是为了优先识别受到攻击的活跃开发人员工作站。
如果文件数量超过一定阈值,恶意软件就会进入下一阶段 - 通过端口 3004 上的 HTTP 服务器建立反向连接。该服务器允许黑客在受感染的机器上执行任意命令并立即收到结果他们的执行。
研究人员敦促开发人员在使用前仔细检查任何第三方软件包和库,并在开发软件时遵守安全最佳实践。