CuteBoi:超过 1200 个 NPM 包加入挖矿逻辑

CuteBoi:超过 1200 个 NPM 包加入挖矿逻辑

事件简述

近日,checkmarx研究人员公开了一起涉及众多包的NPM软件供应链攻击事件。事件最早可以追溯到 2021年12月,攻击者投放了1200多个包含混淆加密的恶意 NPM ,这些包拥有相同的挖矿脚本(eazyminer),该脚本的目的是利用如 Database和 Web 等所在服务器的机器闲置资源进行挖矿。

攻击事件分析

攻击手法

CuteBoi 主要依赖mail.tm提供的一次性电子邮件服务和免费的邮件获取 API ,攻击者可以通过该API在发布包时绕过双因子验证(2FA),创建大量用户账号。

CuteBoi:超过 1200 个 NPM 包加入挖矿逻辑
CuteBoi:超过 1200 个 NPM 包加入挖矿逻辑

(恶意包中的eazyminer调用代码片段)

包中分别包含Linux和Windows中的可执行文件ronbhdcvpqkxwget和ronbhdcvpqkxwget.exe。

CuteBoi:超过 1200 个 NPM 包加入挖矿逻辑

(目录中的挖矿程序)

在判断操作系统环境信息后进行调用。

CuteBoi:超过 1200 个 NPM 包加入挖矿逻辑

(判断环境信息)

攻击影响

如果开发者安装了这些包,则会在被调用时挖掘Monero币。由于eazyminer的作者在源代码中设置了cpu优先级(eazyminer)为0,因此挖矿进程不会抢占其他进程的已有资源,不容易被察觉。开发者在检查时认为服务器处于正常运行的状态,但挖矿包很有可能在后台偷偷执行。

CuteBoi:超过 1200 个 NPM 包加入挖矿逻辑

(eazyminer原作者的声明)

本周OSCS社区监测到至少3起以上的投毒挖矿事件,建议开发者及时关注。

参考链接

  1. https://checkmarx.com/blog/cuteboi-detected-preparing-a-large-scale-crypto-mining-campaign-on-npm-users/
  2. checkmarx研究人员公开了恶意软件包的列表,恶意包存放地址:https://cuteboi.info/
(0)
上一篇 2023年8月9日 下午5:58
下一篇 2023年8月9日 下午6:22

相关推荐

  • 在线编程 IDE =远程网络攻击?

    背景: 黑客通常使用受感染的机器而不是直接从个人拥有的设备发起攻击,这使他们能够隐藏其来源。在最近的事件响应中,Profero 的事件响应团队调查了一种可能的情况,假设威胁参与者使用 Datacamp 的在线 IDE 对云基础设施发起攻击。但是,因为Datacamp、ISP 和在线 IDE 之间错综复杂的关系,使得Profero 的事件响应团队对使用云 ID…

    2023年8月9日
    0
  • 首起针对国内金融企业的开源组件投毒攻击事件

    简述 2023年8月9日,墨菲监控到用户名为 snugglejack_org (邮件地址:SnuggleBearrxx@hotmail.com)的用户发布到 NPM 仓库中的 ws-paso-jssdk 组件包具有发向 https://ql.rustdesk[.]net 的可疑流量,经过确认该组件包携带远控脚本,从攻击者可控的 C2 服务器接收并执行系统命令…

    2023年8月18日
    0
  • 小心白蛇!PyPI仓库被持续投放White Snake后门组件

    背景 墨菲安全实验室在持续监测开源软件仓库中的投毒行为,4 月 14 日起陆续发现至少 41 个包含白蛇(White Snake)后门的 Python 包被发布到 PyPI 仓库,目前相关的后门包仍在持续发布。 事件简述 白蛇 (WhiteSnake)是在今年 2 月份开始持续活跃、以信息窃取为目的的后门软件,其通过 telegram 等渠道进行售卖,按照不…

    2023年8月9日
    0
  • 开源无国界?vue-cli、node-ipc被投毒事件分析

    简述 近日我们监测到Vue.js生态中的vue-cli包遭遇供应链投毒,而被投毒的node-ipc包在npm上每周下载量超百万,影响非常广泛。 被投毒的情况如下: (问题组件每周下载量截图) 事件时间线 3月7号 开发者RIAEvangelist在node-ipc包中添加名为ssl-geospec.js的恶意JS文件,将node-ipc的版本号更新为10.1…

    2023年8月9日
    0
  • 小心恶意NPM包让你成为51Pwn的肉鸡

    10月31日,墨菲安全实验室监测到名为hktalent的开发者在NPM中央仓库发布了aliyundrive、spring-projects 等15个NPM投毒包,组件包通过混淆进行反检测,开发者难以发现隐藏的恶意代码。 其中 aliyundrive 组件包仿冒了阿里云盘名称,国内用户开发者在使用阿里云盘过程中有可能中招。 当用户安装时会窃取用户的操作系统、网…

    2023年11月1日
    0