投放800个恶意NPM包!黑客发动大规模供应链攻击
“通常,攻击者使用一个匿名的一次性NPM帐户发起攻击,”以色列安全公司Checkmarx透露:“但这一次,攻击者似乎完全自动化了NPM帐户创建过程,为每个恶意程序包都开设了专用帐户,这使得这批新的恶意包更难被发现和完全清理。”
此前,JFrog和Sonatype最近的报告都详细介绍了数百个恶意NPM包,这些包利用依赖混淆和域名仿冒等技术针对Azure、Uber和Airbnb的开发人员。
根据对RED-LILI作案手法的详细分析,其异常活动的最早证据出现在2022年2月23日,该恶意程序包集群在一周内“爆发式”发布。
据Checkmarx透露,黑客使用自定义Python代码和Selenium等Web测试工具的组合来模拟在注册表中复制用户创建过程所需的用户操作,从而将恶意库自动化批量上传到NPM。
为了绕过NPM设置的一次性密码(OTP)验证,攻击者还利用一种名为Interactsh的开源工具将NPM服务器发送的OTP提取到注册期间提供的电子邮件地址,从而成功创建帐户。
有了这个全新的NPM用户帐户后,攻击者会在生成访问令牌之后,以自动方式创建和发布一个恶意程序包,且每个帐户只发布一个,这种方式可以有效绕过电子邮件OTP验证。
研究人员说:“这是软件供应链攻击的一个里程碑,标志着供应链攻击者正在不断提高技能并让防御变得更加艰难。”“通过跨多个用户名分发恶意软件包,攻击者使防御者更难完全关联和防御,增加感染的机会。”