HackerNews 编译，转载请注明出处： 网络安全研究人员在 npm 注册表中发现了一组新的恶意软件包，共计 175 个，这些软件包被用于一场特殊的攻击行动，为凭证窃取攻击提供便利。 据网络安全公司 Socket 透露，这些软件包的总下载量已达 2.6 万次，它们构成了一场大规模钓鱼攻击行动的基础设施。该行动代号为 “比姆格里”（Beamglea），目标直指全球范围内 135 多家工业、科技及能源企业。 安全研究员库什・潘迪亚表示：“尽管这些软件包采用随机命名方式，降低了开发人员误安装的可能性，但下载量中很可能包含安全研究人员、自动扫描程序以及漏洞披露后对软件包进行分析的内容分发网络（CDN）基础设施的相关下载。” 研究发现，这些软件包利用 npm 的公共注册表和unpkg.com的内容分发网络来托管重定向脚本，将受害者引导至凭证收集页面。上个月末，安全公司 Safety 的保罗・麦卡蒂首次发现了该攻击行动的部分异常情况。 具体而言，该类库中包含一个名为 “redirect_generator.py” 的 Python 文件，通过编程方式创建并发布名为 “redirect-xxxxxx” 的 npm 软件包（其中 “x” 代表随机字母数字字符串）。随后，该脚本会将受害者的电子邮件地址和自定义钓鱼链接注入到软件包中。 一旦软件包在 npm 注册表上发布，这款 “恶意软件” 就会创建一个 HTML 文件，其中包含指向与新发布软件包相关联的 UNPKG 内容分发网络的链接（例如 “unpkg [.] com/redirect-xs13nr@1.0.0/beamglea.js”）。据称，攻击者利用这一机制分发 HTML 恶意负载，当受害者打开该文件时，会从 UNPKG 内容分发网络加载 JavaScript 脚本，并被重定向至微软凭证收集页面。 JavaScript 文件 “beamglea.js” 是一个重定向脚本，其中包含受害者的电子邮件地址以及用于捕获凭证的目标钓鱼链接。Socket 公司表示，已发现超过 630 个伪装成采购订单、技术规格说明书或项目文件的 HTML 文件。 换言之，这些 npm 软件包并非设计为在安装时执行恶意代码。相反，攻击者利用 npm 和 UNPKG 来托管钓鱼基础设施。目前尚不清楚这些 HTML 文件的具体传播途径，但有可能是通过电子邮件传播，诱骗收件人打开这些特制的 HTML 文件。 Socket 公司指出：“当受害者在浏览器中打开这些 HTML 文件时，JavaScript 脚本会立即将其重定向至钓鱼域名，同时通过 URL 片段传递受害者的电子邮件地址。” “随后，钓鱼页面会自动预填充电子邮件字段，营造出受害者正在访问一个已识别其身份的合法登录入口的假象。这种预填充凭证的方式能降低受害者的怀疑，从而显著提高攻击成功率。” 这些发现再次凸显了威胁攻击者技术不断演进的本质 —— 他们持续调整攻击手段以规避防御者的检测，而防御者也在不断研发新的检测技术。此次事件则暴露出攻击者对合法基础设施的大规模滥用行为。 潘迪亚表示：“npm 生态系统在不知情的情况下成为了攻击基础设施，而非直接的攻击载体。安装这些软件包的开发人员不会发现任何恶意行为，但打开特制 HTML 文件的受害者会被重定向至钓鱼网站。” “攻击者通过 9 个账户发布了 175 个软件包，并自动生成针对特定受害者的 HTML 文件，构建了一个低成本且具有韧性的钓鱼基础设施。该基础设施无需支付服务器托管费用，还能利用可信的内容分发网络服务。npm 的开放注册表、unpkg.com的自动分发功能以及极简代码的结合，形成了一套可复制的攻击方案，其他攻击者很可能会效仿采用。”   消息来源：thehackernews； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc”并附上原文

软件供应链安全公司 JFrog 将攻击代号命名为 Revival Hijack，该公司表示，这种攻击方法可用于劫持 22,000 个现有的 PyPI 软件包，并导致“数十万”次恶意软件包下载。 这些易受攻击的软件包下载量超过 100,000 次，或已活跃超过六个月。 JFrog 安全研究人员 Andrey Polkovnychenko 和 Brian Moussalli 在一份报告中表示：“这种攻击技术涉及劫持 PyPI 软件包，通过操纵在原始所有者从 PyPI 索引中删除它们后重新注册的选项。” 这次攻击的本质是，PyPI 存储库中发布的几个 Python 包被删除，使得任何其他用户都可以重新注册它们。 JFrog 分享的统计数据显示，平均每月有大约 309 个软件包被删除。这种情况可能出于多种原因：缺乏维护（即废弃软件）、软件包以不同的名称重新发布，或者将相同的功能引入官方库或内置 API。 这也构成了一个比域名抢注更有效的有利可图的攻击面，攻击者可以利用自己的帐户发布同名且更高版本的恶意软件包，以感染开发者环境。 研究人员表示：“该技术并不依赖于受害者在安装软件包时犯的错误。”他们指出，从对手的角度来看，Revival Hijack 可以产生更好的效果。“许多用户认为将‘曾经安全’的软件包更新到最新版本是一种安全的操作。” 虽然 PyPI 确实有针对作者冒充和域名抢注的安全措施，但 JFrog 的分析发现，运行“ pip list –outdated ”命令会将假冒软件包列为原始软件包的新版本，其中前者对应于完全不同作者的不同软件包。 更令人担忧的是，运行“ pip install –upgrade ”命令会将实际软件包替换为虚假软件包，并且不会发出软件包作者已更改的警告，这可能会使不知情的开发人员面临巨大的软件供应链风险。 JFrog 表示，它已采取措施创建一个名为“ security_holding ” 的新 PyPI 用户帐户，用于安全地劫持易受攻击的软件包并将其替换为空的占位符，以防止恶意攻击者利用被删除的软件包。 此外，每个软件包都被分配了版本号 0.0.0.1 – 与依赖混淆攻击场景相反- 以避免在运行 pip 升级命令时被开发人员拉取。 令人不安的是，Revival Hijack 已经在野外遭到利用，一个名为 Jinnis 的未知攻击者于 2024 年 3 月 30 日引入了一个名为“ pingdomv3 ”的软件包的良性版本，同一天，原始所有者 (cheneyyan) 从 PyPI 中删除了该软件包。 据称，2024 年 4 月 12 日，新开发人员发布了一个更新，其中包含一个 Base64 编码的有效负载，该有效负载检查“ JENKINS_URL ”环境变量是否存在，如果存在，则执行从远程服务器检索的未知的下一阶段模块。 JFrog 表示：“这表明攻击者要么延迟了攻击的发起，要么将其设计得更具针对性，可能将其限制在特定的 IP 范围内。” 此次新攻击表明，攻击者正着眼于更大范围的供应链攻击，目标是已删除的 PyPI 软件包，以扩大攻击范围。建议组织和开发人员检查其 DevOps 管道，以确保他们没有安装已从存储库中删除的软件包。 JFrog 安全研究团队负责人 Moussalli 表示：“处理已删除软件包时使用易受攻击的行为允许攻击者劫持现有软件包，从而可以在不改变用户工作流程的情况下将其安装到目标系统中。PyPI 软件包的攻击面不断扩大。尽管采取了主动干预措施，但用户仍应始终保持警惕并采取必要的预防措施，以保护自己和 PyPI 社区免受这种劫持技术的侵害。”   转自军哥网络安全读报，原文链接：https://mp.weixin.qq.com/s/TL8lRRm4dYtBlATpySYsCQ 封面来源于网络，如有侵权请联系删除。

Bleeping Computer 网站披露，一个新的恶意软件包利用受害者YouTube频道宣传流行游戏的破解方法，这些上传的视频中包含了下载破解和作弊器的链接，但是受害者安装的却是能够自我传播的恶意软件包。 据悉，恶意软件捆绑包已经在YouTube视频中广泛传播，其针对的主要目标是一些玩 FIFA、Forza Horizon、乐高星球大战和蜘蛛侠等游戏的粉丝。 恶意软件RedLine 卡巴斯基在一份报告中指出，研究人员发现一个 RAR 档案中包含了一系列恶意软件，其中最引人注目的是 RedLine，这是目前最大规模传播的信息窃取者之一。 RedLine 可以窃取存储在受害者网络浏览器中的信息，例如 cookie、账户密码和信用卡，还可以访问即时通讯工具的对话，并破坏加密货币钱包。 除此之外，RAR 档案中还包括一个矿工，利用受害者的显卡为攻击者挖掘加密货币。 由于捆绑文件中合法的 Nirsoft NirCmd 工具 nir.exe，当启动时，所有的可执行文件都会被隐藏，不会在界面上生成窗口或任何任务栏图标，所以受害者很难发现这些情况。 YouTube上自我传播的RedLine 值得一提的是，卡巴斯基在存档中发现了一种“不寻常且有趣”的自我传播机制，该机制允许恶意软件自我传播给互联网上的其他受害者。 具体来说，RAR包含运行三个恶意可执行文件的批处理文件，即 “MakiseKurisu.exe”、“download.exe ”和 “upload.exe”，它们可以执行捆绑的自我传播。 RAR中包含的文件（卡巴斯基） 第一个是 MakiseKurisu，是广泛使用 C# 密码窃取程序的修改版本，仅用于从浏览器中提取 cookie 并将其存储在本地。 第二个可执行文件“download.exe”用于从 YouTube 下载视频，这些视频是宣传恶意包视频的副本。这些视频是从 GitHub 存储库获取的链接下载的，以避免指向已从 YouTube 报告和删除的视频 URL。 宣传恶意软件包的YouTube视频（卡巴斯基） 第三个是“upload.exe ”，用于将恶意软件推广视频上传到 YouTube。使用盗取的 cookies 登录到受害者 YouTube 账户，并通过他们的频道传播捆绑的恶意软件。   上传恶意视频的代码（卡巴斯基） 卡巴斯基在报告中解释，[upload.exe]使用了 Puppeteer Node 库，提供了一个高级别 API，用于使用 DevTools 协议管理 Chrome 和 Microsoft Edge。当视频成功上传到 YouTube 时，upload.exe 会向 Discord 发送一条信息，并附上上传视频的链接。 生成Discord通知（卡巴斯基） 如果YouTube频道所有者日常不是很活跃，他们不太可能意识到自己已经在 YouTube 上推广了恶意软件，这种传播方式使 YouTube 上的审查和取缔更加困难。   转自 FreeBuf，原文链接：https://www.freebuf.com/news/344691.html 封面来源于网络，如有侵权请联系删除