事件简述
近日,checkmarx研究人员公开了一起涉及众多包的NPM软件供应链攻击事件。事件最早可以追溯到 2021年12月,攻击者投放了1200多个包含混淆加密的恶意 NPM ,这些包拥有相同的挖矿脚本(eazyminer),该脚本的目的是利用如 Database和 Web 等所在服务器的机器闲置资源进行挖矿。
攻击事件分析
攻击手法
CuteBoi 主要依赖mail.tm提供的一次性电子邮件服务和免费的邮件获取 API ,攻击者可以通过该API在发布包时绕过双因子验证(2FA),创建大量用户账号。
(恶意包中的eazyminer调用代码片段)
包中分别包含Linux和Windows中的可执行文件ronbhdcvpqkxwget和ronbhdcvpqkxwget.exe。
(目录中的挖矿程序)
在判断操作系统环境信息后进行调用。
(判断环境信息)
攻击影响
如果开发者安装了这些包,则会在被调用时挖掘Monero币。由于eazyminer的作者在源代码中设置了cpu优先级(eazyminer)为0,因此挖矿进程不会抢占其他进程的已有资源,不容易被察觉。开发者在检查时认为服务器处于正常运行的状态,但挖矿包很有可能在后台偷偷执行。
(eazyminer原作者的声明)
本周OSCS社区监测到至少3起以上的投毒挖矿事件,建议开发者及时关注。
参考链接
- https://checkmarx.com/blog/cuteboi-detected-preparing-a-large-scale-crypto-mining-campaign-on-npm-users/
- checkmarx研究人员公开了恶意软件包的列表,恶意包存放地址:https://cuteboi.info/
