聚焦源代码安全，网罗国内外最新资讯！

编译：代码卫士

研究人员发现，NPM包Registry 上出现了至少17个恶意包。此前攻击者通过开源软件仓库如 PyPi 和 RubyGems 等托管和分发恶意软件。

目前这些恶意包已被删除，它们的目的是盗取 Discord 访问令牌和环境变量并且完全控制受害者系统。

研究人员指出，“这些包的 payload 各不相同，包括信息窃取工具到完全远程访问后门等不一而足。另外，这些包拥有不同的感染技术，如typosquatting、依赖混淆以及木马功能。“

这些恶意包是：

• prerequests-xcode （版本1.0.4）

• discord-selfbot-v14 （版本 12.0.3）

• discord-lofy （版本 11.5.1）

• discordsystem （版本 11.5.1）

• discord-vilao （版本 1.0.0）

• fix-error （版本 1.0.0）

• wafer-bind （版本 1.1.2）

• wafer-autocomplete （版本 1.25.0）

• wafer-beacon （版本 1.3.3）

• wafer-caas （版本 1.14.20）

• wafer-toggle （版本 1.15.4）

• wafer-geolocation （版本 1.2.10）

• wafer-image （版本 1.2.2）

• wafer-form （版本 1.30.1）

• wafer-lightbox （版本 1.5.4）

• octavius-public （版本 1.836.609）

• mrg-message-broker （版本 9998.987.376）

此前研究结果显示，协作和通信工具如 Discord 和Slack 已成为网络犯罪分子的便利机制，Discord 服务器已被集成到攻击链中，被用于远程控制受感染机器，甚至提取受害者数据。

网络安全公司 Zscaler 在今年2月份分析指出，“网络犯罪分子正在使用 Discord CDN 托管恶意文件并用于命令和控制通信。该静态内容分发服务在威胁者之间十分流行，被用于托管恶意附件，即使Discord 删除了真正的文件，这些附件仍然可公开访问。“

因此，攻击者盗取 Discord 访问令牌将 Discord 作为隐秘的数据提取信道、向其它Discord 用户分发恶意软件甚至将 Discord Nitro 付费账户出售给其它第三方也就不令人奇怪了。

更令人担心的是，软件包 “prerequests-xcode” 是一个全方位的远程访问木马、DiscordRAT 的 Node.JS 端口，用于抓取截屏、收集剪贴板数据、执行任意 VBScript 和 PowerShell 代码、窃取密码并下载恶意文件，从而使攻击者能够接管开发者系统。

最近，越来越多的攻击者使用恶意包作为隐秘的攻陷向量，从而执行大量恶意活动如供应链攻击等。研究人员指出，“公开库已成为恶意软件分发的便利工具：该仓库的服务器是一个可信任资源，与服务器的通信也不会引起杀软或防火墙的怀疑。另外，通过自动化工具如 NPM 客户端等进行安装也成为一种成熟的攻击向量。“

推荐阅读

NPM 修复两个严重漏洞但无法确认是否已遭在野利用，可触发开源软件供应链攻击

热门NPM库 “coa” 和“rc” 接连遭劫持，影响全球的 React 管道

注意！恶意NPM包正在安装勒索软件和密码窃取木马

原文链接

https://thehackernews.com/2021/12/over-dozen-malicious-npm-packages.html

题图：Pixabay License

本文由奇安信编译，不代表奇安信观点。转载请注明“转自奇安信代码卫士 https://codesafe.qianxin.com”。

奇安信代码卫士 (codesafe)

国内首个专注于软件开发安全的产品线。

 觉得不错，就点个 “在看” 或 "赞” 吧~