详细内容或原文请订阅后点击阅览
安装了软件包 - 赠送了钱包。 140 多个 npm 库如何通过 Mastra 生态系统被感染并开始寻找加密货币
在一些受感染的 Windows 计算机上发现了具有 SYSTEM 权限的 PowerShell 后门。
来源:安全实验室新闻频道安装了软件包 - 赠送了钱包。 140 多个 npm 库如何通过 Mastra 生态系统被感染并开始寻找加密货币
在一些受感染的 Windows 计算机上发现了具有 SYSTEM 权限的 PowerShell 后门。
Mastra 生态系统中用于创建 AI 应用程序的 140 多个软件包通过 npm 被感染。微软表示,恶意代码在 npm install 或 npm update 后立即运行,因此即使程序包未连接到应用程序代码,感染也可能影响开发人员桌面和构建服务器。
攻击者获得了 npm 开发者帐户 ehindero 的访问权限,该帐户有权在 matra 和 @mastra 命名空间中发布更新。通过被劫持的帐户,攻击者释放了受感染版本的软件包,并向每个软件包添加了 easy-day-js@^1.11.21 依赖项。所有恶意版本都被标记为最新,因此 npm 在安装过程中自动选择它们。
在发布历史记录中发现异常。 Mastra 1.13.0 之前的版本是通过 GitHub Actions 发布的,并验证了程序集的来源,而 Mastra 1.13.1 是从匿名邮件服务地址手动发布的。在 Mastra 存储库中没有发现任何可以解释新依赖项出现的更改。
easy-day-js 软件包伪装成流行的 dayjs 库,每周下载量超过 5700 万次。作者复制了描述、存储库链接以及真正开发人员的姓名。 easy-day-js 1.11.21 的第一个版本于 6 月 16 日下载,没有恶意代码,版本 1.11.22 于 6 月 17 日发布。库代码保持不变,但在 package.json 文件中添加了一个安装后处理程序,该处理程序启动了隐藏的 setup.cjs 脚本。
在某些受感染的 Windows 计算机上,Microsoft 检测到从单独的基础设施加载 PowerShell 后门。该后门删除了 PowerShell 历史记录,为 Microsoft Defender 添加了例外,并以 SYSTEM 权限安装了该服务。微软高度确信该活动与朝鲜组织 Sapphire Sleet 有关,该组织最常攻击金融机构。