安全研究人员揭示了npm和PyPI上存在的恶意软件包,包括加密货币挖矿程序和远程访问木马。Sonatype检测到691个恶意npm包和49个恶意PyPI组件。这些包可能对不知情的开发人员构成风险,一些包甚至设计有检测虚拟机以逃避分析的机制。此外,一个名为infinitebrahamanuniverse的开发者上传了大量可疑包,可能导致DoS攻击或资源过度消耗。
安全研究人员在npm和PyPI开源注册表上又发现了大量恶意包,如果开发人员不知情地下载这些包,可能会引发问题。
今年1月,Sonatype表示,它发现了691个恶意npm包和49个恶意PyPI组件,其中包含加密矿工、远程访问木马(rat)等。
自2019年以来,该公司人工智能工具的发现使其被标记为恶意、可疑或概念验证的包裹总数达到近10.7万个。
它包括多个包含相同恶意包的包。Go file-一种木马,旨在从Linux系统中挖掘加密货币。据Sonatype报道,其中16个被追踪到同一个演员trendava,他现在已经从npm注册表中删除了。
单独的发现包括PyPI恶意软件最小值,其目的是在执行之前检查虚拟机(VM)的存在。这个想法是为了破坏安全研究人员的尝试,他们经常在虚拟机中运行可疑的恶意软件,以发现更多关于威胁的信息。
Sonatype表示:“该恶意软件旨在检查当前操作系统是否为Windows。然后,它检查环境是否在虚拟机或沙箱环境中运行。它通过验证与VMware和VirtualBox相关的特定文件的存在,以及检查安全研究人员通常使用的某些进程的存在来做到这一点。如果环境是虚拟机,则代码立即返回,而无需进一步执行。”
安全供应商还发现了新的Python恶意软件,它结合了RAT和信息窃取者的功能。
最后,它发现了一个看起来很可疑的开发人员,名为infinitebrahamanuniverse,他上传了超过3.3万个包,自称是“无人掉队”或“nolb”的子包。后者在上周被移除,因为npm安全团队发现它依赖于所有其他已知的公开可用的npm包。
Sonatype警告说:“如果你现在检查任何npm包,你可能会在dependents标签下发现一个由infinitebrahamanuniverse上传的nolb包。”
通过将其添加到拼写错误拦截包中,威胁参与者可以发起拒绝服务(DoS)针对公司下载频道的攻击,这可能会破坏开发人员的时间,迫使他们等待npm环境准备就绪。安装具有此依赖关系的包也会导致过度的资源消耗。如果你遵循这个系列,你现在应该知道,这样的场景并非遥不可及。
扫一扫
947
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
