详细内容或原文请订阅后点击阅览
1.5 小时的恐怖:朝鲜黑客闪电般的新战术
专家揭示了针对开发人员的闪电战攻击策略。
来源:安全实验室新闻频道专家揭示了针对开发人员的闪电战攻击策略。
在过去的一年里,Phylum 一直在积极监控攻击开源软件开发商的朝鲜黑客的活动。一份新报告显示了一个 npm 包在 1.5 小时内发布并从网站删除的案例。该事件凸显出,虽然黑客的方法在不断演变,但基本的攻击模式保持不变。
门 新报告 npmCall-blockflow 曾短暂出现在 npm 上,是流行的 call-bind 软件包(每周下载量约 4500 万次)的修改版本。新版本保留了原始版本的所有基本元素,但更改了package.json文件并添加了新文件,这使得安装包时可以运行恶意代码。
呼叫绑定由于配置文件的更改以及使用自动执行然后删除且不留痕迹的特殊脚本,使得此类操作成为可能。
合法调用绑定包(左)和恶意调用阻止流(右)中的 package.json 之间的差异
合法调用绑定包(左)和恶意调用阻止流(右)中的 package.json 之间的差异攻击的关键创新是在 Windows_NT 环境中运行的脚本,该脚本会创建临时文件来执行恶意命令,然后删除这些文件。这种方法可以帮助黑客不被发现并增强攻击的隐蔽性。
除了技术方面之外,值得注意的是,虽然“call-blockflow”包复制了可信的“call-bind”包,但它不会对后者的用户构成威胁。 npm 和 Phylum 的安全系统可以快速响应此类威胁,在恶意软件包造成损害之前将其阻止。
恶意“call-blockflow”包已迅速从 NPM 中删除,与此活动中使用的快速发布和删除模式一致。这种策略使攻击者能够最大限度地降低检测和分析恶意数据包的能力。