投毒分析

处心积虑的投毒者蛰伏三年多，精心选择对象，通过复杂的攻击手法、专业的技战术，一步步支起一张大网，企图掌控全球主流linux发行版，一旦成功他将可以随意侵入全球绝大多数的服务器，这将是足以引爆全球的核弹危机。所幸由于复杂度过高以及投毒者的疏忽，事件被及早发现，没有造成过大的现实危害。但此次事件再次凸显出开源软件生态的脆弱性，本次事件仍可能只是冰山下的一角。墨菲…

10月31日，墨菲安全实验室监测到名为hktalent的开发者在NPM中央仓库发布了aliyundrive、spring-projects 等15个NPM投毒包，组件包通过混淆进行反检测，开发者难以发现隐藏的恶意代码。 其中 aliyundrive 组件包仿冒了阿里云盘名称，国内用户开发者在使用阿里云盘过程中有可能中招。 当用户安装时会窃取用户的操作系统、网…

简述 2023年8月9日，墨菲监控到用户名为 snugglejack_org (邮件地址：SnuggleBearrxx@hotmail.com）的用户发布到 NPM 仓库中的 ws-paso-jssdk 组件包具有发向 https://ql.rustdesk[.]net 的可疑流量，经过确认该组件包携带远控脚本，从攻击者可控的 C2 服务器接收并执行系统命令…

背景 2023年8月14日晚，墨菲安全实验室发布《首起针对国内金融企业的开源组件投毒攻击事件》NPM投毒事件分析文章，紧接着我们在8月17日监控到一个新的npm投毒组件包 hreport-preview，该投毒组件用来下载木马文件的域名地址竟然是 img.murphysec-nb.love(如下图1)，且该域名注册时间就是8月14号，投毒者使用的注册邮箱同样…

简述 近日我们监测到Vue.js生态中的vue-cli包遭遇供应链投毒，而被投毒的node-ipc包在npm上每周下载量超百万，影响非常广泛。 被投毒的情况如下： （问题组件每周下载量截图） 事件时间线 3月7号 开发者RIAEvangelist在node-ipc包中添加名为ssl-geospec.js的恶意JS文件，将node-ipc的版本号更新为10.1…

一、事件简述 2022 年 06 月 23 日，OSCS 开源安全社区监测发现 PyPI 官方仓库被攻击者上传了agoric-sdk，datashare，datadog-agent等150+个恶意钓鱼包，OSCS官方提醒广大开发者关注。 PyPI 是 Python 的包管理工具，提供了对第三方 Python 包的查找、下载、安装、卸载等功能。攻击者mega7…

事件简述 近日，checkmarx研究人员公开了一起涉及众多包的NPM软件供应链攻击事件。事件最早可以追溯到 2021年12月，攻击者投放了1200多个包含混淆加密的恶意 NPM ，这些包拥有相同的挖矿脚本（eazyminer），该脚本的目的是利用如 Database和 Web 等所在服务器的机器闲置资源进行挖矿。 攻击事件分析 攻击手法 CuteBoi 主…

事件简述 NPM 是 Node.js 包管理工具，提供了对第三方 Node.js 包的查找、下载、安装、卸载等功能。 2022 年 07 月 04 日，OSCS 监测发现 NPM 官方仓库被 btwiuse 上传了 btwiuse、k0s 恶意组件包，使用恶意组件包后会在用户电脑上加载名为 k0s 的远控木马，危害较为严重，OSCS 提醒广大开发者关注。 详…

背景： 黑客通常使用受感染的机器而不是直接从个人拥有的设备发起攻击，这使他们能够隐藏其来源。在最近的事件响应中，Profero 的事件响应团队调查了一种可能的情况，假设威胁参与者使用 Datacamp 的在线 IDE 对云基础设施发起攻击。但是，因为Datacamp、ISP 和在线 IDE 之间错综复杂的关系，使得Profero 的事件响应团队对使用云 ID…

一、事件简述： 7 月 16 日 ,OSCS 安全社区监测到shaikhyaser一天内在NPM仓库中不间断投放了十多个组件包，这些组件包都包含恶意行为。截止到21日，该用户已向 NPM 仓库投放了 67个不同版本的的恶意组件包，这些包也在代码中注明了该用户的邮箱，推测是hackerone中的用户。 这些恶意包的攻击方式相同，下面来分析其攻击手法。 二、 手…