安全研究人员发现开源JavaScriptnpm存储库中存在一个名为aabquerys的恶意包,它使用typosquatting技术误导开发者下载。此包下载并执行多阶段恶意软件,包括远程访问木马。npm已将其移除,但事件提醒开发者注意开源供应链中的安全风险。
在开源JavaScript npm存储库中发现了一个名为aabquerys的包,它使用typosquatting技术来支持恶意组件的下载。
这一发现来自ReversingLabs的安全研究人员,他们表示aabquerys能够将第二和第三阶段的恶意软件有效载荷下载到受感染的系统。
该公司在上周发布的一份报告中写道:“这个包的名称aabquerys也与另一个合法的npm模块的名称类似abquery,这是打字错误的证据,即试图制造混乱,欺骗开发人员下载恶意包而不是合法包。”
这项由ReversingLabs威胁研究人员Lucija Valentic和Karlo Zanki撰写的技术报告称,恶意包由两个文件组成,其中一个通过JavaScript混淆器进行了混淆。
研究人员写道:“开源代码的目的是让所有人都能看到,所以应该调查隐藏或隐藏开源模块内功能的行为。”
在aabquerys的情况下,有问题的混淆代码很容易去混淆。这显示了一个明显带有恶意行为的JavaScript文件。”
据ReversingLabs称,当在PC上打开该文件时,会显示一条虚假的网络浏览器崩溃信息和一个链接,该链接会导致下载第二阶段的恶意软件,该恶意软件已被用于几次恶意软件攻击。这反过来又加载了一个下载第三阶段恶意组件的动态链接库(DLL)文件。
该文件被称为Demon.bin,是一个具有各种远程访问木马(RAT)功能的恶意代理,据报道,它是由恶意软件作者C5pider使用开源、后开发、命令和控制(C2)框架Havoc开发的。
Valentic写道:“自从发现aabquerys包以来,npm已经将它与其他恶意包一起从他们的存储库中删除了。”
研究人员解释说:“与此同时,由负责的维护者发现的恶意包(以及其他证据)凸显了隐藏在npm、PyPI和GitHub等开源存储库中的恶意包的风险越来越大。这一风险要求开发组织更加关注其开源供应链中恶意或可疑行为的迹象。”
例如,Sonatype在几周前发布了一项新研究,表明去年12月在npm中发现了超过400个恶意包,在PyPI存储库中发现了数十个。
扫一扫
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
