详细内容或原文请订阅后点击阅览
恶意NPM软件包目标PayPal用户
威胁行为者部署恶意NPM软件包来窃取PayPal凭据和劫持加密货币转移。 Fortinet研究人员发现了多个恶意NPM软件包,用于针对PayPal用户。这些包裹在3月初被称为Tommyboy_H1和Tommyboy_H2的威胁演员上传到存储库,并用于窃取Paypal证书和劫持Cryptocurrency Transfers。 “使用与PayPal相关的[…]
来源:Security Affairs _恶意软件恶意NPM软件包目标PayPal用户
威胁行为者部署恶意NPM软件包来窃取PayPal凭据和劫持加密货币转移。
Fortinet研究人员发现了多个用于针对PayPal用户的恶意NPM软件包。这些包裹在3月初被称为Tommyboy_h1和Tommyboy_h2的威胁演员上传到存储库,并用于窃取Paypal证书和劫持Cryptocurrency Transfers。
发现 tommyboy_h1 tommyboy_h2“使用与PayPal相关的名称有助于这些恶意软件包避免检测到发现,从而使攻击者更容易窃取敏感信息。通过以恶意软件包的名义包括“ PayPal”,例如Oauth2-Paypal和ButtonFactoryServ-Paypal,攻击者还会使开发者欺骗开发者,将其欺骗,将其诱使他们安装他们的合法性觉得。阅读Fortinet发表的分析。 “代码收集和剥离系统数据,例如用户名和目录路径,然后可用于针对PayPal帐户或出售出于欺诈性目的。”
分析恶意NPM软件包使用预启用挂钩运行隐藏的脚本,窃取系统信息,混淆数据并将其渗透到攻击者控制的服务器中以进行未来的攻击。
Fortinet研究人员建议观看与假PayPal相关的软件包,检查网络日志是否奇数连接,删除威胁,更新凭据以及安装软件包时保持谨慎。
相同的攻击者可能创建了tommyboy_h1和tommyboy_h2恶意软件包来定位PayPal用户。
“ Tommyboy_h1和Tommyboy_h2的作者可能是同一个人,在短时间内发布了多个恶意软件包。我们怀疑同一位作者为目标PayPal用户创建了这些软件包。”总结了报告。 “我们敦促公众在下载包裹时保持谨慎,并确保它们来自可信赖的来源,以避免受到这种袭击的受害者。”
在Twitter上关注我:@securityaffairs和Facebook和Mastodon
@securityaffairs Facebook ( -