英特尔 CPU 出现新侧信道攻击
近日,已发现影响多代 Intel CPU 的新边信道攻击,允许数据通过 EFLAGS 寄存器泄漏。 新的攻击是由清华大学、马里兰大学和中国教育部计算机实验室 (BUPT) 的研究人员发现的,它与大多数其他侧信道攻击不同。 这种新型攻击不像许多其他侧信道攻击那样依赖缓存系统,而是利用瞬态执行中的一个缺陷,可以通过时序分析从用户内存空间中提取秘密数据。 该攻击是 Meltdown 的旁路,Meltdown 是 2018 年发现的一个严重安全漏洞, 影响了许多基于 x86 的微处理器。 Meltdown 利用称为“推测执行”的性能优化功能,使攻击者能够绕过内存隔离机制来访问存储在内核内存中的秘密,例如密码、加密密钥和其他私有数据。 通过软件补丁、微代码更新和硬件重新设计,Meltdown 已 在很大程度上得到缓解;然而,没有任何解决方案可以 100% 解决问题,最新的攻击方法甚至可以在完全打补丁的系统中发挥作用,具体取决于硬件、软件和补丁配置。 瞬态执行定时攻击 在 Arxiv.org 上发表的一篇技术论文中提出的新的侧信道攻击 描述了瞬态执行中 EFLAGS 寄存器变化的缺陷,影响了 JCC(条件代码跳转)指令的时序。 EFLAGS 寄存器是一个 CPU 寄存器,它保存着与处理器状态相关的各种标志,而 JCC 指令是一个 CPU 指令,它允许根据 EFLAGS 寄存器的内容进行条件分支。 攻击分两个阶段进行,第一阶段触发瞬时执行并通过EFLAGS寄存器对秘密数据进行编码,第二阶段测量KCC指令解码数据的执行时间。 攻击概述 (arxiv.org) 实验数据表明,该攻击针对 Intel i7-6700 和 Intel i7-7700 实现了 100% 的数据检索(泄漏),并且对更新的 Intel i9-10980XE CPU 取得了一定的成功。实验在 Ubuntu 22.04 jammy 上进行,Linux 内核版本为 5.15.0。 用于计时瞬态执行攻击的伪代码 (arxiv.org) 然而,研究人员指出,这种定时攻击不如缓存状态侧信道方法可靠,并且为了在最近的芯片中获得更好的结果,这种攻击必须重复数千次。 由实验数据评估分析得出:“在实验中,我们发现 EFLAGS 寄存器对 Jcc 指令执行时间的影响不像缓存状态那样持久。在瞬态执行后的大约 6-9 个周期内,Jcc 执行时间将不会构建边信道。根据经验,攻击需要重复数千次才能获得更高的准确性。” 研究人员承认,攻击的根本原因仍然难以捉摸,并假设英特尔 CPU 的执行单元中有一个缓冲区,如果执行应该被撤回,则需要时间来恢复,如果随后的指令依赖于该进程,则会导致停顿在缓冲区的目标上。 然而,研究人员仍然提出了一些重要的缓解措施,例如更改 JCC 指令的实现,使对抗性执行在任何情况下都无法测量,或者在瞬态执行后重写 EFLAGS 以减少其对 JCC 指令的影响。 转自 E安全,原文链接:https://mp.weixin.qq.com/s/uPQNKja73QKVT_mi5MHCPg 封面来源于网络,如有侵权请联系删除
至少2个关键基础设施组织被 3CX 攻击背后的朝鲜相关黑客破坏
Lazarus 是针对3CX 的级联供应链攻击背后的多产朝鲜黑客组织,它还利用木马化的 X_TRADER 应用程序入侵了电力和能源领域的两个关键基础设施组织以及另外两个涉及金融交易的企业。 据悉,赛门铁克的威胁猎人团队提供的新发现证实了早先的怀疑,即 X_TRADER 应用程序危害影响的组织比 3CX 多。博通旗下赛门铁克的安全响应主管 Eric Chien 在一份声明中告诉黑客新闻,这些攻击发生在 2022 年 9 月至 2022 年 11 月之间。 Chien 说:“目前这些感染的影响尚不清楚——需要进行更多调查,并且正在进行中。”他补充说,“这个故事可能还有更多内容,甚至可能还有其他被木马化的软件包。” 事态发展之际,Mandiant透露,上个月 3CX 桌面应用程序软件遭到入侵,是由于 2022 年另一起针对 X_TRADER 的软件供应链泄露事件导致的,一名员工将其下载到他们的个人电脑上。 目前尚不清楚朝鲜网络攻击者 UNC4736 如何篡改由一家名为 Trading Technologies 的公司开发的交易软件 X_TRADER。虽然该服务于 2020 年 4 月停止,但直到去年仍可在公司网站上下载。 Mandiant 的调查显示,注入到损坏的 X_TRADER 应用程序中的后门(称为 VEILEDSIGNAL)允许对手获得对员工计算机的访问权限并窃取他们的凭据,然后使用这些凭据来破坏 3CX 的网络,横向移动并破坏 Windows 和macOS 构建环境以插入恶意代码。 这场规模庞大的相互关联的攻击似乎与以往与朝鲜结盟的团体和活动有很大重叠,这些团体和活动历来以加密货币公司为目标,并进行了出于经济动机的攻击。 谷歌云子公司以“中等信心”评估该活动与 AppleJeus 有关,AppleJeus 是一项针对加密公司进行金融盗窃的持续活动。网络安全公司 CrowdStrike 此前将此次攻击归因于一个名为Labyrinth Chollima的 Lazarus 集群。 2022年2月,Google 的威胁分析小组 (TAG)曾将同一敌对集体与 Trading Technologies 网站的入侵联系起来,以提供利用 Chrome 网络浏览器中当时的零日漏洞的漏洞利用工具包。 ESET 在分析不同的 Lazarus Group 活动时,披露了一种名为 SimplexTea 的新的基于 Linux 的恶意软件,它共享被识别为 UNC4736 使用的相同网络基础设施,进一步扩展了现有证据表明 3CX 黑客攻击是由朝鲜威胁策划的演员。 ESET 恶意软件研究员 Marc-Etienne M 表示:“[Mandiant] 发现第二次供应链攻击导致 3CX 遭到破坏,这表明 Lazarus 可能会越来越多地转向这种技术,以获得对目标网络的初始访问权限。” .Léveillé 告诉黑客新闻。 X_TRADER 应用程序的妥协进一步暗示了攻击者的经济动机。Lazarus(也称为 HIDDEN COBRA)是一个总称,由位于朝鲜的几个子团体组成,这些子团体代表隐士王国从事间谍活动和网络犯罪活动,并逃避国际制裁。 赛门铁克对感染链的分解证实了 VEILEDSIGNAL 模块化后门的部署,该后门还包含一个可以注入 Chrome、Firefox 或 Edge 网络浏览器的进程注入模块。该模块本身包含一个动态链接库 (DLL),可连接到 Trading Technologies 的网站以进行命令和控制 (C2)。 赛门铁克总结说:“发现 3CX 被另一个更早的供应链攻击所破坏,这使得更多的组织很可能会受到这次活动的影响,现在发现这种活动的范围比最初认为的要广泛得多。” 转自 E安全,原文链接:https://mp.weixin.qq.com/s/WpJpB4rt4liYqbW0tBaWDQ 封面来源于网络,如有侵权请联系删除
攻击者利用废弃的 WordPress 插件,对网站进行后门攻击
攻击者正在使用Eval PHP,一个过时的WordPress插件,通过注入隐蔽的后门来破坏网站。 Eval PHP是一个废弃的WordPress插件,它允许网站管理员在WordPress网站的页面和文章中嵌入PHP代码,然后在浏览器中打开页面时执行该代码。 该插件在过去十年中没有更新,被默认为是废弃软件,但它仍然可以通过WordPress的插件库下载。 据网站安全公司Sucuri称,使用Eval PHP在WordPress页面上嵌入恶意代码的迹象在2023年4月激增,现在WordPress插件平均每天有4000个恶意安装。 与传统的后门注入相比,这种方法的主要优点是,Eval PHP可以被重新使用,以重新感染被清理过的网站,而且相对隐蔽。 隐蔽的数据库注入 在过去几周检测到的PHP代码注入为攻击者提供了一个后门,使攻击者对被攻击的网站具有远程代码执行能力。 恶意代码被注入到目标网站的数据库中,特别是 “wp_posts “表中。这使得它更难被发现,因为它逃避了标准的网站安全措施,如文件完整性监控、服务器端扫描等。 为了做到这一点,攻击者使用一个被破坏的或新创建的管理员账户来安装Eval PHP,允许他们使用[evalphp]短代码将PHP代码插入被破坏网站的页面中。 一旦代码运行,则将后门(3e9c0ca6bbe9.php)放置在网站根部。后门的名称在不同的攻击中可能有所不同。 恶意的Eval PHP插件安装是由以下IP地址触发的: 91.193.43.151 79.137.206.177 212.113.119.6 该后门不使用POST请求进行C2通信以逃避检测,相反,它通过cookies和GET请求传递数据,没有可见参数。 Sucuri强调有必要将旧的和未维护的插件除名,因为威胁者很容易滥用这些插件来达到恶意目的,并指出Eval PHP并不是唯一有风险的插件。 在WordPress插件库删除该插件之前,建议网站调整他们的管理面板,保持他们的WordPress安装是最新版本,并使用Web应用防火墙。 转自 Freebuf,原文链接:https://www.freebuf.com/news/364328.html 封面来源于网络,如有侵权请联系删除
微软 SQL 服务器遭黑客入侵,所有文件都被加密
近日,Microsoft SQL (MS-SQL) 服务器遭到攻击,因其安全性较差,入侵者进入服务器后直接安装了 Trigona 勒索软件,并加密了所有文件。 入侵者是利用了那些极易被猜到的帐户凭据为突破点,暴力攻击了MS-SQL 服务器,并安装了名为CLR Shell的恶意软件,这次攻击是被韩国网络安全公司AhnLab的安全研究人员发现的。 这种恶意软件专门用于收集系统信息,还可以直接更改那些被入侵的帐户配置。此外,该软件还可以利用Windows辅助登录服务中的漏洞将特权升级到LocalSystem,不过想完成这个操作需要启动勒索软件。AhnLab表示,CLR Shell是一种CLR汇编恶意软件,该软件在接收入侵者的命令后可直接执行恶意入侵行为,运行模式有点类似于web服务器的webshell。 然后入侵者会在下一阶段安装一个恶意软件dropper,用作svcservice.exe服务,继而就能启动Trigona勒索软件,作为svchost.exe。此外,他们还会配置勒索软件二进制文件。在每次系统重新启动时,通过Windows自动运行密钥自动启动,以确保系统在重新启动后仍处于被加密的状态。 在拿到赎金前,这个恶意软件会禁用系统针对Windows卷影副本进行恢复、删除的相关操作,所以要想恢复系统必须要有解密密钥。 Trigona勒索信,图源:BleepingComputer 2022年10月,MalwareHunterTeam首次发现了该恶意软件。在赎金方面,Trigona勒索软件仅接受门罗币加密货币。 Trigona会加密受害者设备上的所有文件,除了特定文件夹中的文件,包括Windows和Program files目录。该软件通过添加“._locked”为扩展名,以重命名加密文件,并在每个被锁定的文件中嵌入加密的解密密钥、活动ID和受害者ID(公司名称)。在进行这些加密操作之前,该团伙还声称已经窃取到了一些敏感文件,并且表示这些文件将被放到暗网上。 该软件还会创建名为“how_to_decrypt”的赎金笔记。每个文件夹中都包含一些入侵系统的信息,比如Trigona Tor协商网站的访问链接,以及包含登录协商网站所需的授权密钥。 Trigona样本提交(ID勒索软件) 自今年年初以来,Trigona勒索软件团伙已经发起了多次攻击事件。据统计,仅向ID勒索软件平台发起的攻击事件至少有190起。 转自 Freebuf,原文链接:https://www.freebuf.com/news/364194.html 封面来源于网络,如有侵权请联系删除
国际支付巨头 NCR 遭勒索攻击:POS 机服务已中断多天
支付巨头NCR公司遭受勒索软件攻击,旗下Aloha POS系统平台发生中断。BlackCat/ALPHV团伙已经宣布为此负责。 NCR是一家美国软件与技术咨询公司,为餐厅、企业及零售商等客群提供数字银行、POS系统及支付处理解决方案。 NCR用于酒店服务的产品Aloha POS平台自上周三(4月12日)发生故障以来,至今仍无法供客户正常使用。 经过多日沉默后,NCR今天对外披露称,为Aloha POS平台提供支持的数据中心遭受到勒索软件攻击。 该公司在发给Aloha POS客户的邮件中表示,“作为NCR公司的重要客户,我们正在联络该数据中心以了解更多中断信息。该中断事件已经影响了部分酒店客户的一定数量的附属Aloha应用程序。” “4月13日,我们确认此次中断源自勒索软件攻击。” “发现这一情况后,我们立即开始联系客户,并聘请第三方网络安全专家参与调查。” “相关通知也已提交至执法部门。” 在发给媒体的声明中,NCR表示此次中断影响到其部分Aloha POS酒店客户,而且中断的只是“一定数量的附属Aloha应用程序”。 但是,有Aloha POS客户在Reddit论坛上分享称,中断事件已经导致其业务运营出现重大问题。 一位客户在AlohaPOS子论坛上写道,“受事件影响,我们这边的餐厅经理、小型特许经营让和上百位员工瞬间回到了石器时代。现在我们只能用纸笔记录信息,再把结果发给总部,整体情况令人头痛。” 其他用户则忙于为员工按时发放工资。还有些客户建议手动从数据文件中提取信息,直到本次中断结束。 NCR表示:“我们拥有明确的恢复路径,而且正在实际执行。另外,我们正为客户提供专门的帮助和解决方法,在支持他们运营的同时努力推进全面恢复。” 但遗憾的是,跟近期发生的Dish和西部数据网络攻击类似,勒索软件攻击造成的中断往往需要很长时间才能安全恢复运行。 BlackCat宣布对该事件负责 虽然NCR没有透露此次勒索软件攻击背后的元凶,但网络安全研究员Dominic Alivieri在BlackCat/ALPHV勒索软件团伙的数据泄露网站上短暂发现过一篇帖子,宣称对此次事件负责。 图:BlackCat数据泄露网站上发布的NCR攻击帖现已被删除 帖子里还包含一名NCR代表与勒索软件团伙间的谈判对话片段。 根据聊天记录来看,BlackCat勒索软件团伙告知NCR,他们在攻击期间并没有窃取存储在服务器上的任何数据。 然而恶意黑客宣称窃取了NCR客户的凭证,并表示如不支付赎金则将凭证公之于众。 “我们在客户网络上获取到大量凭证,可用于接入Insight、Pulse等。在收到赎金后,我们会提供完整凭证清单。” BlackCat随后从数据泄露网站上删除了NCR的帖子,可能是希望对方愿意通过谈判接受赎金要求。 BlackCat勒索软件团伙自2021年11月开始活动,会使用复杂的加密工具开展多种多样的定制化勒索攻击。 该团伙因其数据泄露网站上的黑猫图像而得名BlackCat。不过这批恶意黑客在论坛和谈判活动中,内部自称ALPHV。 自亮相以来,BlackCat已经发展为目前最活跃的勒索软件团伙之一,曾在全球范围内发动数百起攻击,赎金要求从3.5万美元到上千万美元不等。 转自 安全内参,原文链接:https://mp.weixin.qq.com/s/HU_Fe7FFojNwKodqe6YuGw 封面来源于网络,如有侵权请联系删除
网络攻击致使德国药物研发巨头生产延误
德国药物研发巨头Evotec遭受网络攻击,目前正努力恢复被迫离线的IT系统。 Evotec公司拥有4200多名员工,2021年通过开发治疗阿尔茨海默症、亨廷顿舞蹈症等疾病的药物实现了近7亿美元收入。该公司还与百时美施贵宝、拜耳、赛诺菲等其他多家制药巨头建立了长期药物发现合作关系。 内部系统已中断多天 这起网络攻击发生在上周四(4月6日),导致Evotec公司断开了与互联网的连接,旨在“保护[其系统]免遭数据损坏或入侵。” 该公司在上周五表示,“目前正在检查IT系统并审查影响范围,将尽最大努力对数据完整性开展调查。” 在本周一的消息更新中,该公司表示已经安排网络安全专家等对系统进行取证检查。Evotec还就此次攻击事件联系了德国执法机构。 Evotec内部系统仍未重新上线,但表示“全球设施的业务连续性已经得到保障”。 该公司解释称,“已经对数据完整性进行了最大程度的检查,但相关系统将继续保持离线状态,直到取证检查完成且安全计划落实到位为止。” “将实施解决方案以确保各合作伙伴能够使用所有服务,但可能仍存在一定的延迟或响应缓慢。” Evotec公司还敦促各合作伙伴组织和供应商,在其邮件系统重建过程中暂时联络其指定的一个电子邮件地址。 制药业网络攻击日益增长 目前没有黑客团伙宣称对此次攻击负责。最近几个月来,已经有多家制药企业受到网络攻击影响。 两周前,全球第四大特种仿制药公司Sun Pharmaceuticals提交给孟买证券交易所的文件中表示,他们正努力遏制并清除勒索软件攻击,而且已经聘请一家网络安全公司协助应对此次事件。 Black Cat/AlphV勒索软件团伙声称对此次攻击负责,该团伙曾在今年1月向医院技术巨头NextGen Healthcare和美国其他几家医院发动攻击。 转自 E安全,原文链接:https://mp.weixin.qq.com/s/8kPq1gu4EHqAC4W19R-tMA 封面来源于网络,如有侵权请联系删除
RTM Locker:阴影下的新兴网络犯罪团伙
网络安全研究人员详细介绍了一个名为 RTM Locker的新兴网络犯罪团伙的策略,该团伙作为私营勒索软件即服务(RaaS)供应商,进行勒索攻击以获取非法利润。 网络安全公司Trellix在一份分享的报告中说:RTM 团伙有着严格的规则和商业化设置,要求附属机构保持活跃,这也显示了该组织有较高的成熟度。 RTM是ESET在2017年2月首次发现的,RTM起初在2015年是一个银行恶意软件,通过驱动下载、垃圾邮件和钓鱼邮件来针对俄罗斯的企业。此后,该组织的攻击链发展到在被攻击的主机上部署勒索软件的有效载荷。 2021年3月,该组织被认定为是一个勒索和敲诈活动的组织,部署了三重威胁,包括一个金融木马、合法的远程访问工具和一个名为Quoter的勒索软件。 该组织的一个关键特征是它故意避开可能引起人们关注的高知名度目标。因此,独联体国家以及停尸房、医院、新冠疫苗相关企业、关键基础设施、执法部门和其他知名公司都是该团伙的禁区。 RTM Locker恶意软件的构建受到严格的授权约束,禁止附属机构泄露样本,否则将面临被禁止的风险。在其他规则中,有一个条款规定,如果联盟成员在没有预先通知的情况下保持10天不活动,就会被锁定。 RTM像其他RaaS集团一样,使用敲诈技术迫使受害者付款。就其本身而言,该有效载荷能够提升权限,终止防病毒和备份服务,并在开始其加密程序之前删除影子副本。 它还被设计能够清空回收站以防止恢复,改变墙纸,擦除事件日志,并执行一个壳命令,作为最后一步自我删除。 这些发现表明,网络犯罪团伙将继续 采用新的战术和方法,以绕过、躲避研究人员的监控雷达。 转自 Freebuf,原文链接:https://www.freebuf.com/news/363586.html 封面来源于网络,如有侵权请联系删除
韩国加密货币交易所 GDAC 遭遇毁灭性黑客攻击
近日,据韩国加密货币交易所GDAC 称,被盗的加密货币包括 61 个比特币、350.5 个以太币、1000 万个 WEMIX 游戏货币和价值 220,000 美元的泰达币 。 韩国加密货币交易所和区块链平台 GDAC 成为毁灭性黑客攻击的受害者,导致价值约 1390 万美元的各种加密货币被盗。 GDAC CEO Han Seunghwan 于 2023 年 4 月 10 日发布公告,透露攻击发生在 2023 年 4 月 9 日上午,当时黑客控制了交易所的部分热钱包。 被盗的加密货币包括 61 个比特币、350.5 个以太币、1000 万个 WEMIX 游戏货币和价值 220,000 美元的泰达币。如公告所述,这相当于 GDAC 托管资产总额的 23% 左右。为应对此次攻击,GDAC已暂停所有充提业务,并启动紧急服务器维护。 GDAC 已迅速采取行动,向警方报告黑客攻击事件,通知韩国互联网安全局 (KISA),并向金融情报部门 (FIU) 通报攻击造成的损失。该交易所还敦促其他加密货币交易所不要兑现从攻击者使用的地址进行的任何存款,封锁相关地址的入金,具体举措包括: 01 通知韩国金融情报部门 02 暂停GDAC服务器、出入金服务 03 已报警,要求进行网络犯罪调查 04 向韩国网络安全局(KISA)请求技术支援 05 要求代币发行方、交易所、DeFi协议联合冻结资产 Seunghwan 表达了确认恢复存款和取款时间表的挑战,并指出正在进行的调查是造成不确定性的原因。 不幸的是,这起事件并不是孤立的,因为中心化交易所黑客继续困扰着加密货币行业。2022 年 1 月,Crypto.com 遭受黑客攻击,损失超过 1500 万美元。 2019 年 11 月,韩国加密货币交易所 UPbit 遭到黑客攻击,之后攻击者设法窃取了价值 5000 万美元的以太币。尽管如此,GDAC 黑客攻击只会损害投资者对在线加密货币交易所的信任。 随着加密货币市场的持续增长,安全仍然是一个关键问题。交易所和投资者都必须保持警惕并采取强有力的措施来防范潜在的网络威胁。GDAC 的不幸经历提醒人们,在不断发展的加密货币领域,严格的安全协议非常重要。 转自 E安全,原文链接:https://mp.weixin.qq.com/s/5imgP5fmHBalhbvPtaNFKw 封面来源于网络,如有侵权请联系删除
丰田用户注意,小心被“网路钓鱼”
近日,日本汽车巨头丰田表示,其意大利办事处的安全漏洞可能已经暴露了客户数据。 在给 The Record 的一份声明中,丰田汽车北美发言人 Corey Proffitt 证实了Cybernews 的调查结果,Cybernews 是一家网络安全研究机构,该机构于 2 月 14 日在意大利丰田官方网站上发现了一个环境文件 (.env)。 该环境文件于2021 年 5 月 21 日首次被物联网 (IoT) 搜索引擎编入索引,这意味着很多人都可以进行公开访问。 根据 Cybernews 研究团队的说法,该环境文件泄露的原因是,丰田意大利数字营销自动化和分析软件服务提供商 Salesforce Marketing Cloud公开了用户账户凭证访问权限。黑客获取了Salesforce Marketing Cloud公司的权限,并借此访问丰田意大利用户的账户凭证。 通过账户凭证,攻击者顺势访问到了用户的电话号码、电子邮件地址、客户跟踪信息以及电子邮件、短信和推送通知内容。同时这些凭据可以进一步被用来发送虚假的SMS消息、电子邮件、编辑&启动营销活动、创建自动化脚本、编辑与 Salesforce 营销云相关的内容,甚至向丰田的客户发送推送通知。 此外,丰田意大利还泄露了软件公司 Mapbox 的应用程序编程接口 (API) 令牌。虽然这部分数据不像 Salesforce Marketing Cloud 账号凭证那么敏感,但是攻击者可能会滥用它来查询大量请求并增加丰田 API 使用的成本。 Proffitt 说:“在 Cybernews 团队通知丰田汽车意大利公司其 IT 环境中存在网络安全漏洞后,该公司立即采取了一切必要措施来纠正因未能遵守我们公司的数据安全政策而导致的情况。目前已经采取了一套额外的对策来恢复和加强我们的网络安全系统和协议。我们已向有关当局报告了这种数据隐私风险,并全力配合正在进行的调查。” Proffitt 补充说,丰田正在对其网络安全系统进行更广泛的调查,以“防止类似事件再次发生”。 该事件发生在一系列影响汽车公司的数据泄露事件中。1 月,勒索软件攻击者因对英国最大的汽车经销商之一Arnold Clark的攻击而受到赞扬。当汽车经销商拒绝支付赎金时,该团伙泄露了国家保险号码(相当于美国的社会保险号码)和护照数据,以及地址和电话号码。 2022 年 2 月,来自现已解散的 Hive 组织的勒索软件攻击者攻击了欧洲最大的汽车经销商之一埃米尔弗雷,上周法国的一家宝马经销商也遭到勒索软件攻击。路透社上周报道称,特斯拉员工正在共享从客户车辆内的摄像头收集的数据。 转自 E安全,原文链接:https://mp.weixin.qq.com/s/lw9XijA7nFOlwGmM06lA_A 封面来源于网络,如有侵权请联系删除
黑客向 NPM 发送大量伪造包,引发 DoS 攻击
The Hacker News 网站披露,攻击者在 npm 开源软件包存储库中“投放”大量伪造的软件包,这些软件包导致了短暂拒绝服务(DoS)攻击。 Checkmarx 的研究人员 Jossef Harush Kadouri 在上周发布的一份报告中表示,攻击者利用开源生态系统在搜索引擎上的良好声誉,创建恶意网站并发布带有恶意网站链接的空包,此举可能导致拒绝服务(DoS)攻击,使 NPM 变得极不稳定,甚至偶尔会出现服务不可用的“错误”。 在最近观察到的一波攻击活动中,软件包版本数量达到了 142 万个,显然比 npm 上发布的约 80 万个软件包数量大幅上升。 Harush Kadouri 解释称攻击者“借用”开源存储库在搜索引擎中排名创建流氓网站,并在 README.md 文件中上传空的 npm 模块和指向这些网站的链接。由于开源生态系统在搜索引擎上享有盛誉,任何新的开源软件包及其描述都会继承这一良好声誉,并在搜索引擎中得到很好的索引,因此毫无戒心的用户更容易看到它们。 值得注意的是,鉴于整个攻击过程都是自动化的,众多虚假软件包同时发送产生的负载导致 NPM 在 2023 年 3 月底时间歇性地出现了稳定性问题。 Checkmarx 指出,此次攻击活动背后可能有多个威胁攻击者,其最终目的也略有差别,大致可分作为以下三种: 第一是利用 RedLine Stealer、Glupteba、SmokeLoader 和加密货币矿工等恶意软件感染受害者的系统;第二是使用恶意链接会将用户索引至类似速卖通这样的具有推荐 ID 的合法电子商务网站,一旦受害者在这些平台上购买商品,攻击者就会获得分成利润; 第三类则是邀请俄罗斯用户加入专门从事加密货币的 Telegram 频道。 最后,Harush Kadouri 强调攻击者会不断地利用新技术来发动网络攻击活动,因此在同毒害软件供应链生态系统的攻击者进行斗争具有很强的挑战性, 为了防止此类自动化攻击活动,建议 npm 在创建用户帐户时采用反机器人技术。 转自 Freebuf,原文链接:https://www.freebuf.com/news/363174.html 封面来源于网络,如有侵权请联系删除