网络安全研究人员发现,个存过混npm软件包注册表上多个加密货币相关软件包遭劫持,遭劫这些恶意软件包会窃取环境变量等敏感信息。持通
Sonatype研究员Ax Sharma表示:"其中部分软件包已在npmjs.com上存在超过9年,淆脚原本为区块链开发者提供合法功能。本窃但[...]这些软件包的密钥最新版本都植入了混淆脚本。"
以下是个存过混遭劫持的软件包及其版本号:
country-currency-map (2.1.8)bnb-javascript-sdk-nobroadcast (2.16.16)@bithighlander/bitcoin-cash-js-lib (5.2.2)eslint-config-travix (6.3.1)@crosswise-finance1/sdk-v2 (0.1.21)@keepkey/device-protocol (7.13.3)@veniceswap/uikit (0.65.34)@veniceswap/eslint-config-pancake (1.6.2)babel-preset-travix (1.2.1)@travix/ui-themes (1.1.5)@coinmasters/types (4.8.16)恶意代码分析软件供应链安全公司分析发现,这些软件包被植入了两个高度混淆的遭劫恶意脚本:"package/scripts/launch.js"和"package/scripts/diagnostic-report.js"。
这些JavaScript代码会在软件包安装后立即执行,持通专门窃取API密钥、淆脚访问令牌、本窃SSH密钥等敏感数据,密钥并将其外泄至远程服务器("eoi2ectd5a5tn1h.m.pipedream[.]net")。服务器托管个存过混
值得注意的遭劫是,相关GitHub代码库均未包含这些恶意修改,持通攻击者如何推送恶意代码仍是个谜。目前尚不清楚此次攻击的最终目标。
攻击溯源分析Sharma推测:"我们假设劫持原因可能是npm维护者旧账户遭入侵,可能是通过凭证填充攻击(攻击者利用先前泄露的用户名密码组合尝试登录其他网站),或是过期域名被接管。"
"考虑到多个不同维护者的b2b信息网项目同时遭攻击,第一种情况(维护者账户被接管)的可能性远大于精心策划的钓鱼攻击。"
安全建议这一发现凸显了启用双因素认证(2FA)保护账户的重要性。同时也暴露出开源项目生命周期结束后难以实施安全防护的挑战。
Sharma强调:"该案例表明亟需加强供应链安全措施,提高对第三方软件注册表的监控警觉性。企业必须在开发流程的每个阶段优先考虑安全性,以降低第三方依赖带来的风险。"
免费源码下载
