详细内容或原文请订阅后点击阅览
不漂亮,不是仅限Windows:NPM网络钓鱼攻击鞋受欢迎的软件包
“ IS”软件包被跨平台恶意软件感染后,在骗局定位器维护器中,流行的NPM软件包“被“感染了跨平台恶意软件”,大约是在固定性代码装置中使用的Linting Utility软件包感染了Windows-Windows-Windows-Proly恶意软件。
来源:The Register _恶意软件流行的NPM软件包“ IS”感染了跨平台恶意软件,大约在同一时间,用贴具与漂亮的代码格式使用的绒布实用程序软件包感染了只有Windows的恶意软件。
这很可能是由于使用NPM官方网站的类型克隆的网络钓鱼攻击引起的。
“ IS”软件包用于JavaScript类型测试,每周下载约270万次。版本3.3.1包括一个混淆的JavaScript恶意软件加载程序,该团队在Socket的报告中报道,为开发人员提供了安全平台。
团队报告的插座恶意软件捕获包括所有环境变量(通常是凭证之源),通过Websocket连接删除它们的数据,并为攻击者提供交互式远程外壳。该恶意软件在macOS,linux和Windows上的node.js上运行,并在可能的情况下覆盖index.js文件,以便即使删除存储已下载的软件包的node_modules目录,也不会删除它。
维护者乔丹·哈班(Jordan Harband)上周末报告了这个问题,指出“由于另一个维护者的帐户被劫持。”根据布鲁斯基·哈班(Bluesky Harband)本人的一条线程,一位前包裹所有者的电子邮件欺骗了,该电子邮件已被删除并被要求重新添加。
bluesky上的线程“一切似乎都很正常,所以我有义务(刺激NPM会在不通知其他所有者的情况下删除所有者),第二天早上发表了这一点,”他说。
插座还发现了另一个维护者帐户妥协之后,该套件的恶意发布。
该事件与与(但不包括)漂亮的代码格式相关的另一组软件包的妥协相吻合,包括Eslint-Config-Prettier和Eslint-Plugin-Prettier。维护者Joun QIN显然收到了NPM的电子邮件,要求提供电子邮件验证。链接到NPNJS的电子邮件 - 注意NPN而不是NPM - 这是一个旨在获得凭据的克隆网站。
在x 分析