5月11日，網絡安全研究人員在NPM注冊表中發(fā)現(xiàn)了一些惡意軟件包，專門針對一些位于德國的知名媒體、物流和工業(yè)公司進行供應鏈攻擊。

JFrog研究人員在一份報告中表示，“與NPM庫中發(fā)現(xiàn)的大多數(shù)惡意軟件相比，這一有效負載危險性更高。它是一個高度復雜的、模糊的惡意軟件，攻擊者可以通過后門完全控制被感染的機器?！?/p>

DevOps公司表示，根據現(xiàn)有證據，這要么是一個復雜的威脅行為，要么是一個“非常激進”的滲透測試。

目前，大部分惡意軟件包已經從注冊表中移除，研究人員追蹤到四個“維護者”bertelsmannnpm、boschnodemodules、stihlnodemodules和dbschenkernpm，這些用戶名表明其試圖冒充像貝塔斯曼、博世、Stihl和DB Schenker這樣的合法公司。

“維護者”bertelsmannnpm

一些軟件包的名稱非常具體，它意味著對手設法識別了公司內部存儲庫中的庫以進行依賴混淆攻擊。

供應鏈攻擊

上述發(fā)現(xiàn)來自Snyk的報告，該報告詳細描述了其中一個違規(guī)的軟件包“gxm-reference-web-aut -server”，并指出惡意軟件的目標是一家在其私有注冊表中有相同軟件包的公司。

Snyk安全研究團隊表示:“攻擊者很可能在該公司的私人注冊表中，掌握了這樣一個包的存在信息?！?/p>

Reversing實驗室證實了黑客攻擊行為，稱上傳至NPM的惡意模塊版本號比私有模塊的版本號更高，從而迫使模塊進入目標環(huán)境，這是依賴混淆攻擊的明顯特征。

該實驗室解釋“運輸和物流公司的目標私有軟件包有0.5.69和4.0.48版本，與惡意軟件包的公開版本名稱相同，但其使用的是版本0.5.70和4.0.49。”

JFrog稱這種植入是“內部開發(fā)”，并指出該惡意軟件包含兩個組件，一個是傳輸器，它在解密和執(zhí)行JavaScript后門之前，向遠程遙測服務器發(fā)送有關被感染機器的信息。

后門雖然缺乏持久性機制，但設計用于接收和執(zhí)行硬編碼的命令和控制服務器發(fā)送的命令，評估任意JavaScript代碼，并將文件上傳回服務器。

研究人員稱，這次攻擊的目標非常明確，并且其掌握了非常機密的內部信息，甚至在NPM注冊表中創(chuàng)建的用戶名公開指向目標公司。

在此之前，以色列網絡安全公司Check Point披露了一項長達數(shù)月的信息竊取活動，該活動使用AZORult、BitRAT、Raccoon等商用惡意軟件攻擊德國汽車行業(yè)。

參考鏈接：

https://thehackernews.com/2022/05/malicious-npm-packages-target-german.html