新型 npm 供应链攻击自我传播以窃取认证令牌
- 浏览次数 21
- 喜欢 0
HackerNews 编译,转载请注明出处:
一种针对 Node 包管理器(npm)生态系统的新型供应链攻击正在窃取开发者凭证,并试图通过受入侵账户发布的软件包进行传播。
应用安全公司 Socket 和 StepSecurity 的研究人员在 Namastex Labs 的多个软件包中发现了这一威胁。Namastex Labs 是一家提供基于人工智能的智能解决方案以提高盈利能力的公司。
Socket 指出,此次攻击中用于凭证窃取、数据渗出和自我传播的技术与 TeamPCP 的 CanisterWorm 攻击类似,但现有证据尚不足以确定其确切来源。
截至发布时,Socket 列出了在此次新型供应链攻击中已遭入侵的 16 个 Namastex 软件包:
- @automagik/genie (4.260421.33 - 4.260421.39)
- pgserve (1.1.11–1.1.13)
- @fairwords/websocket (1.0.38 - 1.0.39)
- @fairwords/loopback - connector - es (1.4.3 - 1.4.4)
- @openwebconcept/theme - owc@1.0.3
- @openwebconcept/design - tokens@1.0.3
这些软件包用于人工智能代理工具和数据库操作,因此该攻击针对的是高价值端点,而非大规模感染。然而,由于其类似蠕虫的功能,一旦条件满足,传播速度可能很快。
研究人员发现,注入的恶意代码会收集与各种机密相关的敏感数据,如令牌、API 密钥、SSH 密钥、云服务凭证、持续集成 / 持续交付(CI/CD)系统凭证、注册中心凭证、大语言模型(LLM)平台凭证,以及 Kubernetes/Docket 配置。
此外,它还试图提取存储在 Chrome 和 Firefox 浏览器中的敏感数据,包括 MetaMask、Exodus、Atomic Wallet 和 Phantom 等加密货币钱包信息。
StepSecurity 表示,该恶意软件是一种 “供应链蠕虫”,能够找到用于在 npm 上发布软件包的令牌,并将自身注入该令牌可发布的每个软件包中,从而进一步扩大入侵范围。
据 StepSecurity 称,pgserve 的恶意版本于协调世界时(UTC)4 月 21 日 22:14 首次发布,同一天又发布了另外两个恶意版本。
如果在受入侵系统的环境变量或~/.npmrc 配置文件中发现发布令牌,恶意脚本会识别受害者可发布的软件包,添加有效载荷,并以更高版本号重新发布到 npm 上。
这些新感染的软件包在安装时会执行相同过程,实现递归传播。
研究人员指出,如果发现 Python 软件包索引(PyPI)凭证,它会使用基于.pth 的有效载荷对 Python 软件包采用类似方法,使其成为一种跨生态系统攻击。
开发者应将列出的所有软件包版本视为恶意版本,立即从系统和 CI/CD 管道中删除,并轮换所有可能暴露的机密信息。
Socket 和 StepSecurity 均提供了入侵指标,以帮助安全防御人员识别受入侵的开发环境或防范此类攻击。
在发现受影响软件包的环境中,建议采取的措施包括从开发和 CI/CD 系统中删除这些软件包,轮换所有凭证和机密数据,并查找内部软件包镜像、构件和缓存。
Socket 还建议安全防御人员审计具有相同 public.pem 文件、相同 webhook 主机或相同 postinstall 模式的相关软件包。
消息来源:bleepingcomputer.com;
本文由 HackerNews.cc 翻译整理,封面来源于网络;
转载请注明“转自 HackerNews.cc”并附上原文