恶意NPM包运行加密货币挖矿机

安全
Sonatype自动恶意软件检测系统在本月注册的npm中发现了3个恶意npm包。这些恶意NPM包伪装成合法的JS库,并在Windows、macOS和Linux机器上运行加密货币挖矿机。

[[430488]]

恶意NPM包在Windows、Linux和macOS设备上运行加密货币挖矿机。

Sonatype自动恶意软件检测系统在本月注册的npm中发现了3个恶意npm包。这些恶意NPM包伪装成合法的JS库,并在Windows、macOS和Linux机器上运行加密货币挖矿机。

这3个恶意npm包是:

  • okhsa
  • klow
  • klown

okhsa包的不同版本中含有在Windows机器上启动计算器APP的代码。此外,这些版本中都依赖恶意的klow或klown npm包。

Okhsa的manifest文件package.json表明klown也是依赖文件。

恶意NPM包运行加密货币挖矿机

Okhsa的manifest文件package.json

这些包都是同一个开发者发布的:

恶意包的开发者主页

Sonatype安全研究人员发现klow被npm移除后几小时内klown就出现了。Klown伪装为一个合法的JS库——UA-Parser-js,帮助开发者从用户代理http header中提取硬件特征,比如操作系统、CPU、浏览器等。

Klown伪装成合法JS库——“UA-Parser-js”

Sonatype研究人员进一步分析这些包发现,klow和klown中都包含一个加密货币挖矿机。这些包会检测当前的操作系统,并根据运行Windows系统或基于Unix的操作系统的用户来运行.bat或.sh脚本。然后这些脚本会下载一个exe或Linux ELF文件,并用指定挖矿池、挖矿钱包和使用的CPU线程数等参数来执行二进制文件。其中klown包中使用的batch脚本如下所示:

Klown包中的batch脚本截图

该脚本会从185.173.36[.]219处下载一个jsextension.exe文件。该exe文件是一个知名的加密货币挖矿机。对Linux和macOS系统,会从相同的主机处下载一个“jsextension” ELF二进制文件。

下图是对加密货币挖矿可执行文件的测试运行情况:

目前还不清楚这些包的作者针对的开发者群体。目前没有迹象表明这是一起错误输入或依赖劫持攻击。但Klow(n)伪装成合法的UAParser.js库文件,使得其看起来是一个弱的品牌劫持攻击厂商。

Sonatype安全研究团队在10月15日将发现的恶意包提交给了npm。几小时后,这些恶意包就被npm安全团队删除了。

本文翻译自:https://blog.sonatype.com/newly-found-npm-malware-mines-cryptocurrency-on-windows-linux-macos-devices如若转载,请注明原文地址。

 

责任编辑:姜华 来源: 嘶吼网
相关推荐

2021-02-26 09:45:48

恶意软件黑客网络攻击

2021-06-25 10:00:19

Python 存储库恶意软件

2018-04-03 09:00:00

2020-08-26 10:43:24

加密货币攻击蠕虫

2021-11-10 15:23:48

比特币加密货币货币

2021-06-10 10:43:13

Necro恶意软件漏洞

2021-12-29 06:23:04

加密货币网络安全加密劫持

2021-12-08 11:49:43

KMSPico加密货币Red Canary

2021-04-04 22:34:49

恶意镜像攻击加密货币

2019-05-22 15:10:43

2024-08-30 11:35:20

2018-03-15 08:07:06

2021-05-13 09:30:54

攻击恶意软件恶意挖矿

2021-12-28 00:42:47

加密货币挖矿运营

2022-04-13 12:09:07

黑客木马网络攻击

2021-10-28 10:42:07

虚拟货币数字货币区块链

2021-06-04 11:45:36

病毒软件挖矿恶意软件

2021-04-26 23:27:41

僵尸网络漏洞恶意代码

2021-11-18 10:37:28

加密挖矿加密货币安全观察

2021-03-15 13:56:00

DDoS攻击加密货币
点赞
收藏

51CTO技术栈公众号