攻击者部署恶意 NPM 包以窃取 PayPal 凭证并劫持加密货币转账

HackerNews 编译，转载请注明出处：

Fortinet研究人员发现多个恶意NPM包被用于针对PayPal用户。这些包于3月初由名为tommyboy_h1和tommyboy_h2的攻击者上传至仓库，用于窃取PayPal凭证和劫持加密货币转账。

“使用与PayPal相关的名称有助于这些恶意包躲避检测，使攻击者更容易窃取敏感信息。通过在恶意包名称中加入‘PayPal’，例如oauth2-paypal和buttonfactoryserv-paypal，攻击者还营造了一种虚假的合法性，诱使开发者安装它们。”Fortinet发布的分析报告中指出，“该代码会收集并传输系统数据，如用户名和目录路径，这些数据随后可用于针对PayPal账户或出售以用于欺诈目的。”

恶意NPM包利用预安装钩子运行隐藏脚本，窃取系统信息，混淆数据，并将其传输至攻击者控制的服务器，以便用于未来的攻击。

Fortinet研究人员建议留意假冒的PayPal相关包，检查网络日志以查找异常连接，清除威胁，更新凭证，并在安装包时保持谨慎。

同一攻击者很可能创建了tommyboy_h1和tommyboy_h2这两个恶意包，以针对PayPal用户。

“tommyboy_h1和tommyboy_h2的作者很可能是同一个人，在短时间内发布了多个恶意包。我们怀疑同一作者创建了这些包，目的是针对PayPal用户。”报告总结道，“我们敦促公众在下载包时保持谨慎，并确保它们来自可信来源，以避免成为此类攻击的受害者。”

消息来源：securityaffairs；

本文由 HackerNews.cc 翻译整理，封面来源于网络；  

转载请注明“转自 HackerNews.cc”并附上原文