详细内容或原文请订阅后点击阅览
攻击者劫持 Axios npm 帐户传播 RAT 恶意软件
威胁参与者劫持了 Axios 的 npm 帐户,通过恶意软件包更新分发 RAT 恶意软件。威胁行为者入侵了 Axios(一个广泛使用的库,每周下载量超过 1 亿次)的 npm 帐户,并发布了恶意版本以在 Linux、Windows 和 macOS 上传播远程访问木马。供应链攻击由多个 [...]
来源:Security Affairs _恶意软件攻击者劫持 Axios npm 帐户传播 RAT 恶意软件
威胁参与者劫持了 Axios 的 npm 帐户,通过恶意软件包更新分发 RAT 恶意软件。
威胁参与者攻陷了 Axios(一个广泛使用的库,每周下载量超过 1 亿次)的 npm 帐户,并发布了恶意版本以在 Linux、Windows 和 macOS 上传播远程访问木马。在 npm 注册表中出现恶意更新后,多家安全公司发现了供应链攻击。
Axios 的恶意版本(1.14.1 和 0.30.4)在一小时内发布,未经 OIDC 验证或匹配 GitHub 提交,立即引发危险信号。研究人员认为攻击者破坏了维护者 Jason Saayman 的 npm 帐户。
“在删除之前安装任一版本的任何人都应该假设他们的系统已受到损害。恶意版本注入了一个依赖项 (plain-crypto-js),该依赖项部署了一个针对 macOS、Windows 和 Linux 的跨平台远程访问木马。”阅读合气道安全机构发布的报告。
影响尚不清楚,但鉴于 Axios 每月约 4 亿的下载量,许多下游项目可能已在短暂的攻击窗口期间暴露。
Socket 研究人员报告称,名为 [email protected] 的恶意软件包在几分钟内发布并被检测到,很可能是针对 Axios 的协同攻击的一部分。攻击者将此依赖项插入到两个受感染的 Axios 版本中,从而允许恶意软件通过数百万个项目使用的可信库进行传播。由于许多开发人员依赖自动更新,因此可能会在没有通知的情况下安装受影响的版本。
“Elastic Security 的安全研究员 Joe Desimone 在 C2 离线之前捕获了 macOS 第二阶段二进制文件并对其进行了逆向工程。有效负载是一个用 C++ 编写的功能齐全的远程访问木马。”读取 Socket 发布的报告。
鉴于 Axios 下载量巨大,尽管暴露窗口相对较短,但潜在影响还是很大的。
皮尔路易吉·帕格尼尼