一个未知的威胁行为者正在利用恶意的npm软件包来针对开发人员,目的是从受害者的机器中窃取源代码和配置文件,这显示了威胁在开源代码库中持续存在的迹象。
软件供应链安全公司Checkmarx在与The Hacker News分享的一份报告中表示:“与此次攻击活动相关的威胁行为者可以追溯到2021年的恶意活动。从那时起,他们不断发布恶意软件包。”
最新的报告是Phylum在本月初披露的同一系列攻击活动的延续,其中一些npm模块被设计成向远程服务器窃取有价值的信息。
这些软件包在设计上通过在package.json文件中定义的postinstall钩子被配置为在安装后立即执行。它触发了preinstall.js的启动,该文件生成index.js来捕获系统元数据,并从特定目录中提取源代码和秘密信息。
攻击的最后阶段是脚本创建一个ZIP归档文件,并将其传输到预定义的FTP服务器。
连接所有软件包的共同特征是在package.json文件中将”lexi2″作为作者,这使得Checkmarx能够追溯活动的起源至少可以追溯到2021年。
虽然活动的确切目标尚不清楚,但使用像binarium-client、binarium-crm和rocketrefer这样的软件包名称表明针对的目标是加密货币行业。
安全研究员耶胡达·格尔布表示:“加密货币行业仍然是一个热门目标,我们需要认识到我们不仅面对恶意软件包的困扰,还有长期存在的对手,他们持续而精心计划的攻击可能追溯到数月甚至数年前。”
本文转载自https://thehackernews.com/2023/08/malicious-npm-packages-aim-to-target.html,本文观点不代表墨知立场。