最近，我们观察到了一种名为”Fake Browser Update”的诱骗策略，让用户执行恶意二进制文件。在分析这些二进制文件时，我们确定使用了一个新的加载程序，用于在受感染的系统上执行信息窃取程序，其中包括StealC和Lumma。 IDAT 加载程序是我们于2023 年 7 月首次发现的一种新型、复杂的加载程序。在较早版本的加载器中，它被伪装成一个7-zip安装程序，传送SecTop RAT。现在，我们观察到该加载器被用来传送Stealc、Lumma和Amadey等信息窃取程序。它采用了几种逃避技术，包括 Process Doppelgnging、DLL Search Order Hijacking和Heaven’s Gate。IDAT加载器得名于威胁行为者将恶意载荷存储在PNG文件格式的IDAT块中。 在采用这种技术之前，我们观察到背后的黑客利用恶意JavaScript文件来与命令和控制（C2）服务器建立联系，或者传送Net Support远程访问木马（RAT）。 从SocGholish恶意软件，到黑客手中的窃取信息，下面的分析涵盖了整个攻击流程。 技术分析 黑客经常通过安全工具无法检测到的方式发起攻击，而安全研究人员也很难对其进行调查。 更多内容请至Seebug Paper  阅读全文：https://paper.seebug.org/3027/ 消息来源：rapid7，译者：知道创宇404实验室翻译组；   本文由 HackerNews.cc 翻译整理，封面来源于网络；   转载请注明“转自 HackerNews.cc ” 并附上原文

银行和物流行业正遭受一种名为 “Chaes “恶意软件变种的攻击。 Morphisec 在与《黑客新闻》分享的一份新的详细技术报告中说：“Chaes”经历了重大的改版，从完全用 Python 重写，到整体重新设计和增强通信协议，导致传统防御系统的检测率降低。 据了解，Chaes 于 2020 年首次出现，主要针对拉丁美洲（尤其是巴西）的电子商务客户窃取敏感的财务信息。 Avast 在 2022 年初发现，自称为路西法的幕后威胁者已经入侵了 800 多个 WordPress 网站，向巴西银行、Loja Integrada、Mercado Bitcoin、Mercado Livre 和 Mercado Pago 的用户发送 Chaes。 2022 年 12 月，巴西网络安全公司 Tempest Security Intelligence 发现该恶意软件在其感染链中使用了 Windows Management Instrumentation（WMI），以方便收集系统元数据，如 BIOS、处理器、磁盘大小和内存信息。 该恶意软件的最新迭代版本被称为 Chae$ 4（参考源代码中的调试日志信息），其中包含了扩大针对凭证盗窃的服务目录以及剪切功能。 尽管恶意软件架构发生了变化，但在 2023 年 1 月发现的攻击中，总体传输机制保持不变。 潜在受害者登陆其中一个被入侵的网站后，会弹出一个消息，要求他们下载 Java Runtime 或防病毒解决方案的安装程序，从而触发恶意 MSI 文件的部署，该文件反过来又会启动一个名为 ChaesCore 的主协调器模块。 该组件负责建立与命令控制（C2）服务器的通信渠道，从中获取支持入侵后活动和数据盗窃的其他模块 。 初始化，收集系统的大量信息 在线，作为信标向攻击者回传信息，表明恶意软件正在机器上运行 Chronod 会窃取在网页浏览器中输入的登录凭证，并拦截 BTC、ETH 和 PIX 支付转账 Appita 模块，具有与 Chronod 类似的功能，但专门针对 Itaú Unibanco 的桌面应用程序（”itauaplicativo.exe”）。 Chrautos 是 Chronod 和 Appita 的升级版本，主要从 Mercado Libre、Mercado Pago 和 WhatsApp 收集数据。 窃取程序，Chrolog 的改进版，可窃取信用卡数据、cookie、自动填充和其他存储在网络浏览器中的信息。 文件上传器，用于上传与 MetaMask 的 Chrome 扩展相关的数据。 主机上的持久性是通过计划任务完成的，而 C2 通信则需要使用 WebSockets，植入程序会无限循环运行，等待远程服务器的进一步指令。 通过巴西的 PIX 平台进行加密货币转账和即时支付是一个值得注意的新增目标，凸显了攻击者的攻击嗅觉。 Morphisec 进一步解释说：Chronod 模块引入了框架中使用的另一个组件，一个名为 “模块打包器 “的组件。这个组件为模块提供了自己的持久性和迁移机制，其工作原理与ChaesCore的机制非常相似。 这种方法包括更改与网页浏览器（如谷歌 Chrome、微软 Edge、Brave 和 Avast 安全浏览器）相关的所有快捷方式文件（LNK），以执行 Chronod 模块，而不是实际的浏览器。 该公司表示：恶意软件使用谷歌的 DevTools 协议连接到当前浏览器实例。该协议允许通过 WebSockets 与内部浏览器功能直接通信。 该协议暴露的广泛功能允许攻击者运行脚本、拦截网络请求、在加密前读取 POST 体等。     转自Freebuf，原文链接:https://www.freebuf.com/news/377222.html 封面来源于网络，如有侵权请联系删除

根据WithSecure发布的一份新报告，针对Meta Business和Facebook账户的网络攻击在越南的犯罪分子中越来越受欢迎。通常，这些黑客利用通过电子邮件、社交媒体或类似手段共享的各种引诱主题（包括OpenAI的ChatGPT、谷歌的Bard、流行软件如Notepad++，甚至广告和工作机会），操纵受害者感染信息窃取恶意软件。 感染后，恶意软件会窃取各种信息，包括Facebook会话cookie和登录凭据，使攻击者能够访问目标帐户。一些恶意软件植入还可以劫持账户，并通过受害者的机器自动运行欺诈广告。 其他网络罪犯的推动者 访问这些账户为攻击者提供了一些赚钱的机会，例如勒索、诽谤，或者更值得注意的是，利用受害者的资金或信用发布欺诈广告。 一般来说，这些组织向其他网络犯罪分子出售广告，要么收取费用，要么分享业务。这使他们成为其他网络犯罪分子的推动者，最终伤害了企业、平台和用户。此外，他们可以出售大量窃取的信息，这提供了额外的收入来源，也为受害者带来了更多问题。 Ducktail和Duckport 报告还深入探讨了参与这些袭击的两个威胁集群，Ducktail和Duckport。 Ducktail在过去六个月内活动激增，最近开始瞄准X（前身为Twitter）广告账户和Meta Business Ads。它还加强了规避和反分析技术，以避免被发现。 Duckport与Ducktail非常相似，但它也有独特的功能，例如可以截图或滥用在线笔记共享服务，作为其指挥和控制链的一部分。 这些不同但相似的团体的参与表明，在这一领域活动的对手之间有一定程度的合作。这些群体可能从共同的人才库中获取专业知识，也可能在信息共享框架内运作，以交流有效战略。此外，不能忽视提供类似于勒索软件服务模式的中介机构的潜在参与。威胁事件的不断增长，表明这些攻击取得了一定程度的成功。 根据Statista的数据，Meta是全球广告收入第二大广告平台，2023年5月占全球广告市场的23.8%。WithSecure报告评论称：“这一成功自然吸引了希望滥用该平台的威胁行为者。”     转自E安全，原文链接:https://mp.weixin.qq.com/s/LG9PAdcHHlg-MXZj1j6WBA 封面来源于网络，如有侵权请联系删除

相信熟悉Windows系统的用户或多或少都了解过其中自带的写字板功能，但微软近期表示，将在未来的某个 Windows 版本更新中正式移除写字板。 写字板是一种基本的文本编辑应用程序，允许用户创建和编辑带有格式化文本，并包含图像和其他文件的链接的文档。自1995年Windows 95发布以来，写字板便一直是Windows系统中自带的软件功能。 随着写字板将正式被弃用，微软建议用户使用Word来替代写字板，并为那些不需要富文本支持的用户推荐使用记事本。 其实自 2020 年 2 月发布 Windows 10 Insider Build 19551 以来，写字板就变成了Windows系统中的可选功能，即用户可以通过控制面板将其卸载。 目前微软并未透露移除写字板的具体原因，但恶意软件也曾利用过写字板进行攻击活动。今年年初，Qbot 恶意软件操作就通过滥用Windows 10 写字板中的 DLL 劫持缺陷来感染计算机并逃避检测。 近年来，微软已在Windows中砍掉了多项已存在多年的自带软件，包括经典的画图程序，该应用在2017年 7 月发布的 Windows 10 Fall Creator’s Update版本更新中被正式移除。但由于画图程序受众依然广泛，微软将其移至应用商店供用户下载。 因此，如果写字板依然存在用户需求，微软仍可能为其提供在应用商店的下载渠道，而不是彻底让这款有着28年历史的应用彻底消失。     转自Freebuf，原文链接:https://www.freebuf.com/news/377081.html 封面来源于网络，如有侵权请联系删除

现如今，越来越多的人选择在线购买商品。不仅因为它方便，商品会直接送到你家门口，而且有的购物网站价格还相对便宜。但可悲的是，骗子们滥用了这个机会，为了自身利益瞄准用户进行欺诈。而网络欺诈者们主要通过创建虚假的商品列表进行诈骗，一旦用户进行支付，他们则消失得无影无踪。 最近，我们发现了一个工具包的源代码，这个工具包为骗子们提供了很大的帮助。骗子们无需精通技术，只需说服受害者即可。这个工具包的实现主要依靠一个Telegram机器人，当激活时，它以可点击按钮的形式提供几个易于导航的菜单，骗子们可以同时进行操作。本文我们将重点分析这个工具包的特性和功能，以及使用它的群体结构。我们将这个工具包命名为Telekopye。 本文是系列文章中第一部分，在这里我们将更详细地了解Telekopye，并展示一些对骗子们非常有帮助的关键功能。在第二部分中，我们将更多地关注群组操作。 概要 Telekopye取自于Telegram和kopye，kopye是俄语中“长矛”的意思，选用的原因是因为这种欺诈活动使用了网络钓鱼手法，欺诈中，受害者被骗子戏称为 Mammoths（猛犸象）（见图1），为了更好的理解其中的含义，我们沿用相同的逻辑，将称使用Telekopye进行欺诈的骗子为Neanderthals。 Telekopye被多次上传到 VirusTotal，其用户主要来自俄罗斯、乌克兰和乌兹别克斯坦，这些地区通常是Neanderthals活动最活跃的地方，可以根据代码中的评论和目标市场进行判断。尽管Neanderthals的主要目标是俄罗斯（如OLX和YULA），但在实际操作过程中，俄罗斯以外的市场（如BlaBlaCar或eBay）也没能幸免。为了说明这些市场有多么庞大，根据《财富》杂志的数据，2014年OLX平台每月有110亿次页面浏览量和850万次交易量。 我们收集了几个迭代版本的Telekopye，所有版本都可用于创建钓鱼网页，发送钓鱼邮件和短信。此外，一些版本的Telekopye可以将受害者数据（通信地址或电子邮件地址）存储在运行该机器人的磁盘上。Telekopye非常通用，但不具有聊天机器人的AI功能。因此，它实际上并不执行漏洞，只是简化了用于此类骗局的内容生成过程。2023年7月，我们检测到符合Telekopye操作者模式的新域名，因此他们仍然活跃。我们所能收集到的最新版本的Telekopye是2022年4月11日的。因此可以评估，Telekopye至少从2015年开始使用，根据Neanderthals之间的对话片段，可以推测黑客团体们仍在使用它。 Telekopye 功能 Telekopye具有多种不同的功能， Neanderthals可以充分利用这些功能。其中包括发送钓鱼邮件、生成钓鱼网页、发送短信、创建QR码和创建钓鱼截图。在接下来的部分，我们将重点介绍对Neanderthals来说最有用的Telekopye的部分。 连接 每个使用Telekopye的Telegram群组都由一个或多个同时独立操作的Neanderthals组成。功能主要通过按钮提供，而这很可能是为了让Neanderthals更容易进行诈骗活动。 本文显示了Telekopye在一个正在运作的Telegram群组中的一个菜单。特别值得注意的是“我的广告”按钮，显示每个Neanderthals所打开的列表（进行中的诈骗广告），以及“我的资料”按钮，允许Neanderthals查看他们在该平台上的个人资料信息，如诈骗的数量，准备下次支付的金额等。 更多内容请至Seebug Paper  阅读全文：https://paper.seebug.org/3023/ 消息来源：welivesecurity，译者：知道创宇404实验室翻译组； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc ” 并附上原文

Hackernews 编译，转载请注明出处： 一个基于.NET的开源信息窃取恶意软件SapphireStealer，已被多个实体用来增强其能力并产生自己的定制变体。 思科Talos研究员Edmund Brumaghin在与The Hacker News分享的一份报告中表示:“像SapphireStealer这样窃取信息的恶意软件可以用来获取敏感信息，包括公司凭据。这些信息经常被转售给其他威胁行为者，他们利用这些访问权进行额外的攻击，包括与间谍活动或勒索软件/勒索有关的行动。” 随着时间的推移，一个允许经济动机和国家行为者使用恶意软件提供商提供的服务来实施各种攻击的完整生态系统已经发展起来了。 从这个角度来看，这种恶意软件不仅代表了网络犯罪即服务(CaaS)模式的演变，而且还为其他威胁行为者提供了将被盗数据货币化的机会。这让他们能够分发勒索软件，进行数据盗窃和其他恶意网络活动。 SapphireStealer与暗网上越来越多的其他窃取恶意软件很像，它具备收集主机信息、浏览器数据、文件、截图的功能，并通过简单邮件传输协议(SMTP)以ZIP文件的形式泄露数据。 它的源代码在2022年12月下旬免费发布，这使得不法分子能够试验恶意软件，并使其隐蔽。这包括使用Discord webhook或Telegram API达到数据泄露的目的。 Brumaghin说:“这种威胁的多种变体已经在野外存在，且随着时间的推移，攻击者将提高其效率和有效性。” 恶意软件作者还公开了一个.NET恶意软件下载程序，代号为fd – loader，这使得从攻击者控制的分发服务器检索额外的二进制有效负载成为可能。 Talos表示，它检测到恶意软件下载程序被用于提供远程管理工具，如DCRat、jnrat、DarkComet和Agent Tesla。 一个多星期前，Zscaler分享了另一个名为Agniane Stealer的窃取恶意软件的细节，该恶意软件能够从浏览器、Telegram、Discord和文件传输工具中窃取凭证、系统信息、会话细节，以及来自70多个加密货币扩展和10个钱包的数据。 它在几个暗网论坛和Telegram频道上以每月50美元的价格出售(没有终身许可证)。 安全研究员Mallikarjun Piddannavar说:“开发Agniane Stealer的黑客利用包装程序来维护和定期更新恶意软件的各种功能。”     消息来源：thehackernews，译者：Linn；   本文由 HackerNews.cc 翻译整理，封面来源于网络；   转载请注明“转自 HackerNews.cc ” 并附上原文

Hackernews 编译，转载请注明出处： 自2023年6月下旬以来，一种名为MMRat的安卓银行木马被发现瞄准东南亚的移动用户，远程控制设备并进行金融欺诈。 该恶意软件以其独特的软件包名称com.mm.user命名,它可以捕获用户输入和屏幕内容，还可以通过各种技术远程控制受害者设备，使其操作员能够在受害者的设备上进行银行欺诈。”Trend Micro公司表示。 MMRat的与众不同之处在于，它使用了一种基于协议缓冲区(又名protobuf)的定制命令与控制(C2)协议，可以有效地从受感染的手机传输大量数据。这表明安卓恶意软件变得越来越复杂了。 根据网络钓鱼页面中使用的语言，该软件可能的目标包括印度尼西亚、越南、新加坡和菲律宾。 MMRat通常伪装成官方政府或约会应用作为它的攻击的入口点，目前尚不清楚受害者是如何被引导到这些链接的。 这款应用严重依赖Android辅助服务和MediaProjection API，而这两种API都被另一款名为SpyNote的Android金融木马所利用。恶意软件还能够滥用其访问权限来授予自己其他权限和修改设置。 紧接着，它会进一步设置持久性，以便在重新启动之间存活下来。然后MMRat会启动与远程服务器的通信以等待指令，并将这些命令的执行结果传回给远程服务器。该木马利用不同的端口和协议组合来实现数据泄露、视频流和C2控制等功能。 MMRat具有收集广泛的设备数据和个人信息的能力，包括信号强度、屏幕状态、电池状态、安装的应用程序和联系人列表。人们怀疑，在进入下一阶段之前，攻击者会利用这些细节来进行某种形式的受害者侧写。 攻击结束后，MMRat会收到C2命令UNINSTALL_APP并删除自己。这通常发生在成功的欺诈交易之后，可以有效地从设备中删除所有感染痕迹。 为了减轻这种强大的恶意软件带来的威胁，建议用户只从官方来源下载应用程序，仔细审查应用程序评论，并在使用前检查应用程序请求访问权限。     消息来源：thehackernews，译者：Linn；   本文由 HackerNews.cc 翻译整理，封面来源于网络；   转载请注明“转自 HackerNews.cc ” 并附上原文

近日有研究人员发现，MMRat新型安卓银行恶意软件利用protobuf 数据序列化这种罕见的通信方法入侵设备窃取数据。 趋势科技最早是在2023年6月底首次发现了MMRat，它主要针对东南亚用户，在VirusTotal等反病毒扫描服务中一直未被发现。 虽然研究人员并不知道该恶意软件最初是如何向受害者推广的，但他们发现 MMRat 目前是通过伪装成官方应用程序商店的网站进行传播的。 这些应用程序通常会模仿政府官方应用程序或约会应用程序，待受害者下载时会自动安装携带 MMRat 的恶意应用程序，并在安装过程中授予权限，如访问安卓的辅助功能服务等。 恶意软件会自动滥用辅助功能，为自己授予额外权限，从而在受感染设备上执行大量恶意操作。 MMRat 的功能 一旦 MMRat 感染了安卓设备，它就会与 C2 服务器建立通信渠道，并监控设备活动以发现设备空闲时间。在此期间，威胁行为者会滥用可访问性服务远程唤醒设备、解锁屏幕并实时进行银行欺诈。 MMRat 的主要功能可归纳为以下几点： 收集网络、屏幕和电池信息 窃取用户的联系人列表和已安装的应用程序列表 通过键盘记录获取用户输入信息 通过滥用 MediaProjection API 从设备上捕获实时屏幕内容 记录和实时串流摄像头数据 以文本转储形式记录和转储屏幕数据，并将其外泄到 C2 从设备上卸载，清除所有感染证据 恶意软件支持的所有命令，图源：趋势科技 MMRat 能够捕捉实时屏幕内容，甚至还能通过更初级的 “用户终端状态 “方法提取需要重构的文本数据，这都要求高效的数据传输。 如果没有这样的效率，其性能将阻碍威胁行为者有效实施银行欺诈，这也是 MMRat 的作者选择开发用于数据外渗的定制 Protobuf 协议的原因。 MMRat攻击链，图源：趋势科技 Protobuf的优势 MMRat 使用基于协议缓冲区（Protobuf）的独特命令与控制（C2）服务器协议来实现高效数据传输，这在安卓木马中并不多见。 Protobuf 是谷歌开发的一种结构化数据序列化方法，类似于 XML 和 JSON，但体积更小、速度更快。 MMRat 使用不同的端口和协议与 C2 交换数据，如 8080 端口的 HTTP 用于数据渗出，RTSP 和 8554 端口用于视频流，8887 端口的自定义 Protobuf 用于命令和控制。 趋势科技的报告指出：C&C协议尤其独特，因为它是基于Netty和上文提到的Protobuf定制的，具有精心设计的消息结构。 对于 C&C 通信，威胁行为者使用一个总体结构来表示所有消息类型，并使用 “oneof “关键字来表示不同的数据类型”。 Protobuf模式，图源：趋势科技 除了 Protobuf 的高效性，定制协议还能帮助威胁行为者躲避网络安全工具的检测，这些工具会寻找已知异常的共同模式。 Protobuf的灵活性允许MMRat的作者定义他们的信息结构，并组织数据的传输方式。同时，Protobuf 的结构化特性还能确保发送的数据符合预定义的模式，从而降低在接收端被破坏的可能性。 MMRat凸显出了安卓银行木马不断发展的复杂性，它巧妙地将隐蔽性与高效数据提取融为一体。 因此，安卓用户最好全部在Google Play里下载应用 ，查看用户评论，并只选择信誉良好的软件发行商。此外，在安装应用程序阶段被要求授予访问权限时须保持谨慎。     转自Freebuf，原文链接:https://www.freebuf.com/news/376569.html 封面来源于网络，如有侵权请联系删除

Bleeping Computer 网站披露，新版 DreamBus 僵尸网络恶意软件利用 RocketMQ 服务器中一个严重远程代码执行漏洞感染设备，漏洞被追踪为 CVE-2023-33246，主要影响 RocketMQ 5.1.0 及以上版本。 据悉，Juniper Threat Labs 安全研究人员发现利用 CVE-2023-33246 漏洞进行 DreamBus 攻击的安全事件，并报告称该攻击在 2023 年 6 月中旬开始激增。 攻击者利用未打补丁的服务器 Juniper Threat Labs 报告称 2023 年 6 月初，第一批利用 CVE-2023-33246 漏洞的 DreamBus 攻击主要针对 RocketMQ 默认 10911 端口以及其他七个端口。 攻击数量时间表（Juniper Threat Labs） 研究人员发现网络攻击者使用 “interactsh “开源侦察工具确定互联网服务器上运行的软件版本，并推断出潜在的可利用漏洞。此外，研究人员还观察到威胁攻击者从 Tor 代理服务下载一个名为 “reketed “的恶意 bash 脚本（该混淆脚本是从 Tor 网站获取的 DreamBus 主模块（ELF 文件）的下载和安装程序，在执行后会被删除，以尽量减少被检测到的机会，可以躲过了 VirusTotal 上反病毒引擎的检测）。 从 Tor 获取有效载荷 DreamBus 主模块采用定制的 UPX 包装，因此能通过所有 VirusTotal AV 扫描而不被发现，该模块有几个 base64 编码的脚本，可执行包括下载恶意软件的附加模块等不同的功能。主模块对这些字符串进行解码以执行任务，例如向 C2 发送在线状态信号、下载 XMRig 开源 Monero 矿机、执行其他 bash 脚本或下载新的恶意软件版本。 XMRig 配置（Juniper Threat Labs） DreamBus 通过设置一个系统服务和一个 cron 作业（两者都设置为每小时执行一次）来确保其在受感染系统上保持持续活跃。 值得一提的是，该恶意软件还包含使用 ansible、knife、salt 和 pssh 等工具的横向传播机制，以及一个能够扫描外部和内部 IP 范围以发现漏洞的扫描仪模块。 DreamBus 的传播模块（Juniper Threat Labs） 研究人员透露，DreamBus 恶意网络活动的主要目标似乎是挖掘门罗币，不过其模块化特性允许网络攻击者随时在未来更新中轻松扩展其它功能。再考虑到 RocketMQ 服务器用于通信，网络攻击者理论上可以决定窃取被入侵设备管理的敏感对话数据，这样的话可能比在被劫持的资源上进行加密货币挖矿具有更大的货币化潜力。 据了解，早期版本的 DreamBus 恶意软件还针对 Redis、PostgreSQL、Hadoop YARN、Apache Spark、HashiCorp Consul 和 SaltStack，因此建议管理员对所有软件产品进行良好的补丁管理，以应对这一网络威胁。     转自Freebuf，原文链接:https://www.freebuf.com/news/376570.html 封面来源于网络，如有侵权请联系删除

近日，研究人员在 Rust 编程语言的 crate 注册表中发现了一些恶意软件包，专门针对开发人员。 Phylum 在上周发布的一份报告中称，这些库是由一个名为 “amaperf “的用户在 2023 年 8 月 14 日至 16 日之间上传的。现已删除的软件包名称如下：postgress、if-cfg、xrvrv、serd、oncecell、lazystatic 和 envlogger。 目前还不清楚该活动的最终目的是什么，但发现这些可疑模块都带有捕获操作系统信息（即 Windows、Linux、macOS 或未知）的功能，并通过消息平台的 API 将数据传输到硬编码的 Telegram 频道。 这表明该活动可能处于早期阶段，威胁行为者可能已经撒下一张大网，攻陷尽可能多的开发人员计算机，从而提供具有更强数据渗出能力的流氓更新。 该公司表示：由于可以访问 SSH 密钥、生产基础设施和公司 IP，开发人员现在成了极有价值的目标。 这并不是 crates.io 第一次成为供应链攻击的目标。2022 年 5 月，SentinelOne 揭露了一个名为 CrateDepression 的活动，该活动利用错别字技术窃取敏感信息并下载任意文件。 此次披露的同时，Phylum 还揭露了一个名为 emails-helper 的 npm 软件包，该软件包一旦安装，就会设置一个回调机制，将机器信息外泄到远程服务器，并启动随附的加密二进制文件，作为复杂攻击的一部分。 该模块被宣传为 “根据不同格式验证电子邮件地址的 JavaScript 库”，目前已被 npm 下架，但自 2023 年 8 月 24 日上传到软件仓库以来，已吸引了 707 次下载。 该公司表示：攻击者试图通过 HTTP 进行数据渗透，如果失败，攻击者就会转而通过 DNS 进行数据渗透。二进制文件部署了渗透测试工具，如 dnscat2、mettle 和 Cobalt Strike Beacon。 对于开发人员来说，像运行 npm install 这样的简单操作就能引发这个精心设计的攻击链，因此开发人员在进行软件开发活动时必须谨慎。 Python 软件包索引（PyPI）上也发现了恶意软件包，这些软件包试图从受感染的系统中窃取敏感信息，并从远程服务器下载未知的第二阶段有效载荷。     转自Freebuf，原文链接:https://www.freebuf.com/news/376573.html 封面来源于网络，如有侵权请联系删除