聲明：該文章來自（藍點網(wǎng)）版權(quán)由原作者所有，K2OS渲染引擎提供網(wǎng)頁加速服務(wù)。

基于 NPM 生態(tài)系統(tǒng)的供應(yīng)鏈攻擊正在變得越來越頻繁、越來越嚴重，最新出現(xiàn)的供應(yīng)鏈攻擊涉及至少 18 個流行的代碼包，這些代碼包每周的下載次數(shù)超過 20 億次。

攻擊源頭是開發(fā)者 & 維護者 Josh Junon 遭到釣魚，黑客偽造類似 NPM 官方的通知和釣魚網(wǎng)站要求其啟用 2FA 驗證，但開發(fā)者并未嚴格檢查網(wǎng)址就提供了憑證導(dǎo)致自己的賬戶權(quán)限泄露。

隨后黑客利用開發(fā)者權(quán)限向至少 18 個流行的 JavaScript 代碼包中添加惡意代碼，這些代碼包則會被下游應(yīng)用使用，當檢測到某些終端環(huán)境時惡意代碼就會啟動。

黑客的目標是竊取加密貨幣：

此次供應(yīng)鏈攻擊的真正目的是竊取加密貨幣，黑客添加的惡意代碼可以在瀏覽器中悄悄攔截加密貨幣活動，包括但不限于操縱錢包交互和重寫支付目的地等。

也就是即便用戶已經(jīng)在瀏覽器上檢查發(fā)送錢包地址是正確無誤的，但實際上還是會發(fā)送到黑客控制的錢包賬戶，因為實際的錢包地址已經(jīng)被篡改只是用戶無法直接在網(wǎng)頁上看到變化。

研究人員稱這種惡意軟件本質(zhì)上就是基于瀏覽器的攔截器，可以攔截網(wǎng)絡(luò)流量和應(yīng)用程序 API，其危害在于攔截器可以在多個層面運行，例如篡改網(wǎng)址顯示的內(nèi)容、篡改 API 調(diào)用、操作應(yīng)用程序正在簽名的內(nèi)容等，即便界面看起來正確，底層事務(wù)也可以在后臺進行重定向。

開發(fā)者道歉并清理受損的軟件包：

接到研究人員的通知后 Josh Junon 很快意識到自己遭遇到網(wǎng)絡(luò)釣魚，但這次攻擊活動并不只是針對 Josh Junon，這名開發(fā)者收到的釣魚郵件是黑客更大規(guī)模攻擊活動的一部分，應(yīng)該還有大量開發(fā)者也收到類似的釣魚郵件。

Josh Junon 發(fā)布道歉聲明承認自己遭到釣魚，隨后開發(fā)者開始清理受損的軟件包，此次攻擊事件被發(fā)現(xiàn)的還算是及時，但即便如此也有無數(shù)網(wǎng)站受影響，不過不知道具體有多少用戶的加密貨幣被竊取。

下面是受影響的軟件包：

– ansi-styles@6.2.2

– debug@4.4.2 (appears to have been yanked as of 8 Sep 18:09 CEST)

– chalk@5.6.1

– supports-color@10.2.1

– strip-ansi@7.1.1

– ansi-regex@6.2.1

– wrap-ansi@9.0.1

– color-convert@3.1.1

– color-name@2.0.1

– is-arrayish@0.3.3

– slice-ansi@7.1.1

– color@5.0.1

– color-string@2.1.1

– simple-swizzle@0.2.3

– supports-hyperlinks@4.1.1

– has-ansi@6.0.1

– chalk-template@1.1.1

– backslash@0.2.1

[超站]友情鏈接：

四季很好，只要有你，文娛排行榜：https://www.yaopaiming.com/
關(guān)注數(shù)據(jù)與安全，洞悉企業(yè)級服務(wù)市場：https://www.ijiandao.com/