开源再爆雷,NPM JavaScript存储库暗藏后门

安全 应用安全
近日,Phylum的研究人员在开源NPM JavaScript存储库中发现两个恶意AWS软件包暗藏精心设计的代码,一旦执行,就会在开发者的计算机上植入后门程序。研究人员称恶意软件包存续期间已经被下载了数百次。

近日,Phylum的研究人员在开源NPM JavaScript存储库中发现两个恶意AWS软件包暗藏精心设计的代码,一旦执行,就会在开发者的计算机上植入后门程序。研究人员称恶意软件包存续期间已经被下载了数百次。

这两个软件包分别是img-aws-s3-object-multipart-copy和legacyaws-s3-object-multipart-copy,它们试图冒充合法的JavaScript库aws-s3-object-multipart-copy。

假冒软件包包含了所有合法库中的代码,并添加了一个名为loadformat.js的JavaScript文件。这个文件表面上包含无害的代码和三个JPG图像(分别是英特尔、AMD和微软的公司Logo),但其中一个图像隐藏了恶意代码片段,这些片段被重建后可组成后门程序代码,攻击开发者的设备。

日益复杂的开源供应链攻击

“我们已经报告了这些软件包并要求移除,但这些恶意软件包在npm项目中仍然存在了近两天时间,”发现这些软件包的研究人员写道:“这令人担忧,因为当今大多数系统无法检测并及时报告这些软件包,导致开发者长时间暴露在攻击风险中。”

研究人员表示,绝大多数杀毒软件产品都未能发现隐藏在这两个软件包中的后门。

Phylum的研究主管Ross Bryant在邮件中透露,img-aws-s3-object-multipart-copy在被删除前被下载了134次,另一个文件legacyaws-s3-object-multipart-copy被下载了48次。

这些恶意软件包开发者对代码的精心设计及其策略的有效性,突显了针对上游开源代码库的攻击日益复杂化,除了NPM外,其他热门攻击目标还包括PyPI、GitHub和RubyGems等。

近年来,针对开发者的开源供应链攻击威胁不断恶化。

在过去的17个月里,由朝鲜政府支持的黑客组织曾两次针对开发者,其中一次利用了一个零日漏洞。

近期发现的最具创新性的一种开源后门隐藏方法是今年3月曝光的XZ Utils后门,只差一步进入生产版本中。该后门通过一个五阶段加载器实现,使用了一系列简单但巧妙的技术来隐藏自己。一旦安装,黑客可以管理员权限登录受感染的系统。

策划XZ Utils攻击的黑客组织(或个人)花费了数年时间来开发后门。除了隐蔽方法的复杂性,该组织还投入了大量时间为开源项目编写高质量代码,以赢得其他开发者的信任。

今年5月,Phylum阻止了另一个使用隐写术(将秘密代码嵌入图像中的技术)来植入后门的PyPI软件包攻击活动。

“在过去几年中,发布到开源生态系统的恶意软件包的复杂性和数量显著增加,”Phylum研究人员写道:“毫无疑问,这些攻击是成功的。开发者和企业必须高度警惕所使用的开源库。”


责任编辑:华轩 来源: GoUpSec
相关推荐

2021-03-02 16:01:54

BEC攻击“社工”邮件红杉资本

2013-06-06 15:36:47

2015-02-03 16:09:35

2021-10-04 19:06:12

REvil勒索软件黑吃黑

2009-04-30 17:12:50

2019-01-04 10:13:22

苹果中国市场iPhone

2020-03-17 10:18:27

GitHub代码开发者

2010-12-10 15:23:49

Linux漏洞

2010-07-16 10:22:19

金山雷军

2023-12-20 14:08:20

2010-06-12 09:48:17

2011-08-30 16:11:03

2022-07-02 15:23:59

卡巴斯基Exchange服务器

2020-05-12 11:35:53

JavaScript开源技术

2020-05-09 11:15:12

JavaScript图像处理 开源

2024-04-25 13:58:51

开源模型Vicuna

2018-09-25 11:19:05

开源JavaScript图表库

2013-01-17 09:32:03

JavaScriptJSjQuery

2020-08-05 16:35:41

腾讯云Hadoop开源
点赞
收藏

51CTO技术栈公众号