基于 NPM 生態(tài)系統(tǒng)的供應(yīng)鏈攻擊正在變得越來越頻繁、越來越嚴(yán)重，最新出現(xiàn)的供應(yīng)鏈攻擊涉及至少 18 個(gè)流行的代碼包，這些代碼包每周的下載次數(shù)超過 20 億次。

攻擊源頭是開發(fā)者 & 維護(hù)者 Josh Junon 遭到釣魚，黑客偽造類似 NPM 官方的通知和釣魚網(wǎng)站要求其啟用 2FA 驗(yàn)證，但開發(fā)者并未嚴(yán)格檢查網(wǎng)址就提供了憑證導(dǎo)致自己的賬戶權(quán)限泄露。

隨后黑客利用開發(fā)者權(quán)限向至少 18 個(gè)流行的 JavaScript 代碼包中添加惡意代碼，這些代碼包則會(huì)被下游應(yīng)用使用，當(dāng)檢測(cè)到某些終端環(huán)境時(shí)惡意代碼就會(huì)啟動(dòng)。

黑客的目標(biāo)是竊取加密貨幣：

此次供應(yīng)鏈攻擊的真正目的是竊取加密貨幣，黑客添加的惡意代碼可以在瀏覽器中悄悄攔截加密貨幣活動(dòng)，包括但不限于操縱錢包交互和重寫支付目的地等。

也就是即便用戶已經(jīng)在瀏覽器上檢查發(fā)送錢包地址是正確無誤的，但實(shí)際上還是會(huì)發(fā)送到黑客控制的錢包賬戶，因?yàn)閷?shí)際的錢包地址已經(jīng)被篡改只是用戶無法直接在網(wǎng)頁上看到變化。

研究人員稱這種惡意軟件本質(zhì)上就是基于瀏覽器的攔截器，可以攔截網(wǎng)絡(luò)流量和應(yīng)用程序 API，其危害在于攔截器可以在多個(gè)層面運(yùn)行，例如篡改網(wǎng)址顯示的內(nèi)容、篡改 API 調(diào)用、操作應(yīng)用程序正在簽名的內(nèi)容等，即便界面看起來正確，底層事務(wù)也可以在后臺(tái)進(jìn)行重定向。

開發(fā)者道歉并清理受損的軟件包：

接到研究人員的通知后 Josh Junon 很快意識(shí)到自己遭遇到網(wǎng)絡(luò)釣魚，但這次攻擊活動(dòng)并不只是針對(duì) Josh Junon，這名開發(fā)者收到的釣魚郵件是黑客更大規(guī)模攻擊活動(dòng)的一部分，應(yīng)該還有大量開發(fā)者也收到類似的釣魚郵件。

Josh Junon 發(fā)布道歉聲明承認(rèn)自己遭到釣魚，隨后開發(fā)者開始清理受損的軟件包，此次攻擊事件被發(fā)現(xiàn)的還算是及時(shí)，但即便如此也有無數(shù)網(wǎng)站受影響，不過不知道具體有多少用戶的加密貨幣被竊取。

下面是受影響的軟件包：

– ansi-styles@6.2.2

– debug@4.4.2 (appears to have been yanked as of 8 Sep 18:09 CEST)

– chalk@5.6.1

– supports-color@10.2.1

– strip-ansi@7.1.1

– ansi-regex@6.2.1

– wrap-ansi@9.0.1

– color-convert@3.1.1

– color-name@2.0.1

– is-arrayish@0.3.3

– slice-ansi@7.1.1

– color@5.0.1

– color-string@2.1.1

– simple-swizzle@0.2.3

– supports-hyperlinks@4.1.1

– has-ansi@6.0.1

– chalk-template@1.1.1

– backslash@0.2.1

[超站]友情鏈接：

四季很好，只要有你，文娛排行榜：https://www.yaopaiming.com/
關(guān)注數(shù)據(jù)與安全，洞悉企業(yè)級(jí)服務(wù)市場(chǎng)：https://www.ijiandao.com/