专门针对开发人员,攻击者利用Rust获取操作系统信息

安全
近日,研究人员在 Rust 编程语言的 crate 注册表中发现了一些恶意软件包,专门针对开发人员。

近日,研究人员在 Rust 编程语言的 crate 注册表中发现了一些恶意软件包,专门针对开发人员。

Phylum 在上周发布的一份报告中称,这些库是由一个名为 "amaperf "的用户在 2023 年 8 月 14 日至 16 日之间上传的。现已删除的软件包名称如下:postgress、if-cfg、xrvrv、serd、oncecell、lazystatic 和 envlogger。

目前还不清楚该活动的最终目的是什么,但发现这些可疑模块都带有捕获操作系统信息(即 Windows、Linux、macOS 或未知)的功能,并通过消息平台的 API 将数据传输到硬编码的 Telegram 频道。

这表明该活动可能处于早期阶段,威胁行为者可能已经撒下一张大网,攻陷尽可能多的开发人员计算机,从而提供具有更强数据渗出能力的流氓更新。

该公司表示:由于可以访问 SSH 密钥、生产基础设施和公司 IP,开发人员现在成了极有价值的目标。

这并不是 crates.io 第一次成为供应链攻击的目标。2022 年 5 月,SentinelOne 揭露了一个名为 CrateDepression 的活动,该活动利用错别字技术窃取敏感信息并下载任意文件。

此次披露的同时,Phylum 还揭露了一个名为 emails-helper 的 npm 软件包,该软件包一旦安装,就会设置一个回调机制,将机器信息外泄到远程服务器,并启动随附的加密二进制文件,作为复杂攻击的一部分。

该模块被宣传为 "根据不同格式验证电子邮件地址的 JavaScript 库",目前已被 npm 下架,但自 2023 年 8 月 24 日上传到软件仓库以来,已吸引了 707 次下载。

该公司表示:攻击者试图通过 HTTP 进行数据渗透,如果失败,攻击者就会转而通过 DNS 进行数据渗透。二进制文件部署了渗透测试工具,如 dnscat2、mettle 和 Cobalt Strike Beacon。

对于开发人员来说,像运行 npm install 这样的简单操作就能引发这个精心设计的攻击链,因此开发人员在进行软件开发活动时必须谨慎。

Python 软件包索引(PyPI)上也发现了恶意软件包,这些软件包试图从受感染的系统中窃取敏感信息,并从远程服务器下载未知的第二阶段有效载荷。

参考链接:https://thehackernews.com/2023/08/developers-beware-malicious-rust.html

责任编辑:赵宁宁 来源: FreeBuf.COM
相关推荐

2021-02-16 16:44:40

RustJavaScript开发

2022-11-09 06:44:37

2021-03-23 14:48:34

iOS供应链攻击网络安全

2022-03-05 12:00:11

网络钓鱼网络攻击

2019-10-17 09:00:00

GoRust编程语言

2023-10-13 12:04:33

恶意软件加密

2023-01-08 00:31:14

2013-09-10 10:25:35

开源开源开发人员开源市场

2021-03-23 14:49:40

苹果恶意代码攻击

2015-06-23 09:24:13

编程社区开发人员

2012-11-23 09:42:26

开源软件开发人员

2020-10-09 08:31:00

泄露

2017-12-07 20:20:03

2020-11-20 09:41:55

Python编程语言机器人

2012-05-30 15:15:42

ibmdw

2023-03-15 07:12:53

企业开发人员提供商

2015-08-07 09:54:26

升职开发者管理者

2021-06-30 11:11:31

勒索软件攻击数据泄露

2009-12-11 14:50:14

Visual Basi
点赞
收藏

51CTO技术栈公众号