More  

收藏本站

電腦請使用 Ctrl + D 加入最愛
手機請使用 收藏
關閉

小編的世界 優質文選 網路

鎖定NPM組件用戶的供應鏈攻擊,攻擊者混入合法工具竊取瀏覽器帳密


字體大小:
2021年7月31日 -
:       
 

十輪網

山東寰信網絡科技有限公司

攻擊者利用提供開發者工具的名義來發動攻擊,並且運用合法的軟件,而讓人難以發現意圖。惡意軟件分析解決方案企業ReversingLabs近期披露了一起結合上述形態的攻擊行動,他們在名為nodejs_net_server的NPM組件裏,發現攻擊者疑似為了企圖竊取開發者瀏覽器的帳密資料,嵌入了合法工具ChromePass。而這個NPM組件已被近1,300個開發者下載。NPM獲報後,已於7月21日將nodejs_net_server,以及同作者另一個疑似測試用的tempdownloadtempfile下架。

針對這個NPM組件,ReversingLab指出,他們最早是在程序庫文件夾(lib)裏發現名為a.exe的文件,由於怪異的文件命名方式而引起他們的注意,經過分析之後,研究人員確認這是上述提及的ChromePass軟件,而這個軟件原本的用途,是能夠協助用戶恢複Chrome瀏覽器的帳密。

研究人員表示,ChromePass本身無害,但這起攻擊行動中,提供NPM組件的開發者疑似是要運用它的帳密恢複功能,來偷取帳密資料。

而在nodejs_net_server的網頁中,這個組件是ID名稱為chrunlee的人士開發,最新版本為1.1.2,約於6個月前上架。而ReversingLab指出,該組件自2019年2月底推出以來,總共有12個版本,而其中的初始版本1.0.0,疑似只是測試NPM網站的上架流程,但間隔約3個月後的版本,就開始具備遠程殼層(Remote Shell)的功能,不過,究竟這個殼層的用途為何,ReversingLab並未說明。

直到2020年12月的1.1.0版,ReversingLab發現開發者加入了新的程序代碼,從自家網站(hxxps://chrunlee.cn)下載前面提及的a.exe,而後續的1.1.1和1.1.2版,則將程序代碼修改成執行TeamViewer.exe。為何出現這樣的改變?研究人員認為,開發者很可能是不想讓惡意軟件與自己的網站之間,存在明顯的關聯。

除此之外,研究人員發現攻擊者在1.1.1和1.1.2版組件裏,很可能是為了測試ChromePass的功能,而不慎將自己計算機的Chrome瀏覽器帳密導出,並存放於文本文件a.txt,該文本檔與a.exe存儲在相同的文件夾。這些被包入組件的資料總共有282組帳密,創建的時間自2020年3月20日至12月2日。ReversingLab認為,很可能尚有部分是有效資料。