再次表明开发者仍然是软件供应链攻击的目标,一些恶意包在Rust编程语言的crate注册表上被发现。
据上周发布的一份报告称,这些库是由一个名为”amaperf”的用户在2023年8月14日至16日期间上传的。这些包的名称如下:postgress、if-cfg、xrvrv、serd、oncecell、lazystatic和envlogger。目前这些包已被下架。
目前尚不清楚此次攻击活动的最终目标是什么,但可疑模块被发现具有捕获操作系统信息(即Windows、Linux、macOS或未知)并通过消息平台的API将数据传输到硬编码的Telegram频道的功能。
这表明此次攻击活动可能处于早期阶段,并且威胁行为者可能正在广泛地收集开发者机器,以便提供具有改进的数据窃取能力的恶意更新。目的是尽可能多地侵入开发者机器。
该公司表示:“通过访问 SSH 密钥、生产基础设施和公司 IP,开发人员现在是一个极其有价值的目标。”
这不是 crates.io 第一次成为供应链攻击的目标。2022年5月,SentinelOne 发现了一个名为 CrateDepression 的活动,利用拼写错误的技术来窃取敏感信息并下载任意文件。
Phylum的披露同时揭示了一个名为emails-helper的npm包,一旦安装,它会设置一个回调机制,将机器信息窃取到远程服务器,并启动与之一起提供的加密二进制文件,作为一次复杂攻击的一部分。
这个模块被宣传为一个“用于验证电子邮件地址格式的JavaScript库”,已经被npm下架,但在此之前自从2023年8月24日上传到仓库以来,已经吸引了707次下载。
该公司表示:“数据泄露是通过HTTP尝试的,如果失败,攻击者将通过DNS进行数据泄露。”“这些二进制文件部署了渗透测试工具,如dnscat2、mettle和Cobalt Strike Beacon。”
像运行npm install这样的简单操作就可以引发这个复杂的攻击链,这使得开发人员在进行软件开发活动时必须谨慎并尽职尽责。
同样,在Python包索引(PyPI)上也发现了恶意软件包,它们试图从受感染的系统中窃取敏感信息,并从远程服务器下载一个未知的第二阶段载荷。
本文转载自https://thehackernews.com/2023/08/developers-beware-malicious-rust.html,本文观点不代表墨知立场。