详细内容或原文请订阅后点击阅览
Crims 使用代币挖矿恶意软件毒害 15 万多个 npm 软件包
亚马逊泄露了 TEA然而,另一次供应链攻击已经袭击了 npm 注册表,亚马逊将其描述为“开源注册表历史上最大的软件包泛滥事件之一”,但情况有所不同。这是一场代币挖矿活动,而不是向软件包中注入窃取凭据的代码或勒索软件。
来源:The Register _恶意软件另一场供应链攻击袭击了 npm 注册表,亚马逊将其描述为“开源注册表历史上最大的软件包泛洪事件之一”,但情况有所不同。这是一场代币挖矿活动,而不是向软件包中注入窃取凭据的代码或勒索软件。
Amazon Inspector 安全研究人员使用新的检测规则和 AI 辅助,最初于 10 月底发现了可疑的 npm 软件包,到 11 月 7 日,该团队已标记了数千个软件包。截至 11 月 12 日,他们已在“多个”开发者帐户中发现了超过 150,000 个恶意软件包。
据我们所知,这些都与协调的 tea.xyz 代币挖矿活动有关。这是一个去中心化协议,旨在奖励开源开发人员使用 TEA 代币做出的贡献,TEA 代币是茶生态系统中用于激励、质押和治理的实用资产。
茶.xyz与近几个月来接二连三的软件包中毒事件不同,这次事件并没有将传统的恶意软件注入到开源代码中。相反,不法分子创建了自我复制攻击,用自动生成和发布的代码感染软件包,从而在合法开源开发人员的支持下获得加密货币奖励。
大量 包裹中毒事件 最近几个月 注入传统恶意软件该代码还包括 tea.yaml 文件,将这些包链接到攻击者控制的区块链钱包地址。与此同时,用户完全没有意识到他们在不知不觉中填充了攻击者的钱包。
AWS 研究人员 Chi Tran 和 Charlie Bacon 在一篇有关代币挖矿活动的安全博客中表示:“这一事件表明,经济激励措施导致注册表污染达到前所未有的规模,威胁不断演变,也表明行业与社区合作在保护软件供应链方面至关重要。”
说 OpenSSF 恶意包存储库 未付款 软件物料清单 (SBOM)