惡意NPM包針對Windows、Linux、macOS植入信息竊取器

近期，npm注冊表中出現(xiàn)10款模仿合法軟件項目的惡意包，它們會下載一款信息竊取組件，從Windows、Linux和macOS系統(tǒng)中收集敏感數(shù)據(jù)。

這些惡意包于7月4日被上傳至npm平臺，因采用多層混淆技術(shù)躲過標準靜態(tài)分析機制，長期未被發(fā)現(xiàn)。據(jù)網(wǎng)絡(luò)安全公司Socket的研究人員透露，這10款惡意包的下載量已接近1萬次，能夠竊取系統(tǒng)密鑰環(huán)、瀏覽器及身份驗證服務(wù)中的憑證信息。

截至本文撰寫時，盡管Socket已向npm平臺報告相關(guān)情況，但以下惡意包仍可獲取：

1. typescriptjs

2. deezcord.js

3. dizcordjs

4. dezcord.js

5. etherdjs

6. ethesjs

7. ethetsjs

8. nodemonjs

9. react-router-dom.js

10. zustand.js

Socket研究人員表示，這些惡意包通過虛假驗證碼驗證偽裝成合法程序，進而下載一款以PyInstaller打包的24MB信息竊取器。

攻擊者為誘騙用戶下載，采用了“拼寫劫持”（typosquatting）手段——利用多款知名軟件的名稱拼寫錯誤或變體命名惡意包。涉及的合法軟件包括TypeScript（JavaScript的類型化超集）、discord.js（Discord機器人開發(fā)庫）、ethers.js（以太坊JavaScript開發(fā)庫）、nodemon（Node應(yīng)用自動重啟工具）、react-router-dom（React瀏覽器路由工具）及zustand（輕量React狀態(tài)管理工具）。

開發(fā)者在npm平臺搜索這些合法包時，可能因拼寫失誤或直接選擇搜索結(jié)果中的惡意包而中招。惡意包安裝后，會自動觸發(fā)“postinstall”腳本，生成一個與主機檢測到的操作系統(tǒng)匹配的新終端。該腳本在可見的安裝日志之外執(zhí)行“app.js”文件，并立即清空窗口以規(guī)避檢測。

“app.js”文件是惡意軟件加載器，采用四層混淆技術(shù)：自解碼eval包裝器、動態(tài)生成密鑰的XOR解密、URL編碼載荷以及深度控制流混淆。

腳本會通過ASCII碼在終端顯示虛假驗證碼，為安裝過程制造合法假象。

虛假的 ASCII 驗證碼步驟

隨后，它會將受害者的地理位置和系統(tǒng)指紋信息發(fā)送至攻擊者的命令與控制（C2）服務(wù)器。獲取這些信息后，惡意軟件會從外部來源下載并自動啟動特定于平臺的二進制文件，該文件是一款以PyInstaller打包的24MB可執(zhí)行程序。

這款信息竊取器的攻擊目標包括各類系統(tǒng)密鑰環(huán)（如Windows憑據(jù)管理器、macOS鑰匙串、Linux SecretService、libsecret及KWallet），以及基于Chromium內(nèi)核的瀏覽器和Firefox瀏覽器中存儲的數(shù)據(jù)（包括用戶配置文件、保存的密碼和會話Cookie）。

此外，它還會在常見目錄中搜索SSH密鑰，并嘗試查找和竊取OAuth令牌、JWT令牌及其他API令牌。

被盜取的信息會被打包成壓縮文件，先臨時存儲在/var/tmp或/usr/tmp目錄，隨后被竊取至攻擊者的服務(wù)器（IP地址：195[.]133[.]79[.]43）。

建議曾下載過上述任何一款惡意包的開發(fā)者立即清理感染文件，并輪換所有訪問令牌和密碼，因為這些憑證極有可能已被泄露。

從npm或其他開源索引獲取包時，建議仔細核對名稱是否存在拼寫錯誤，并確保所有包均來自可靠的發(fā)布者和官方倉庫。

參考及來源：https://www.bleepingcomputer.com/news/security/malicious-npm-packages-fetch-infostealer-for-windows-linux-macos/