freeBuf
主站

分类

漏洞 工具 极客 Web安全 系统安全 网络安全 无线安全 设备/客户端安全 数据安全 安全管理 企业安全 工控安全

特色

头条 人物志 活动 视频 观点 招聘 报告 资讯 区块链安全 标准与合规 容器安全 公开课

官方公众号企业安全新浪微博

FreeBuf.COM网络安全行业门户,每日发布专业的安全资讯、技术剖析。

FreeBuf+小程序

FreeBuf+小程序

黑客向 NPM 发送大量伪造包,引发 DoS 攻击
2023-04-11 11:18:41
所属地 海外

The Hacker News 网站披露,攻击者在 npm 开源软件包存储库中“投放”大量伪造的软件包,这些软件包导致了短暂拒绝服务(DoS)攻击。1681183051_6434d14b14cc559a089ab.png!small

Checkmarx 的研究人员 Jossef Harush Kadouri 在上周发布的一份报告中表示,攻击者利用开源生态系统在搜索引擎上的良好声誉,创建恶意网站并发布带有恶意网站链接的空包,此举可能导致拒绝服务(DoS)攻击,使 NPM 变得极不稳定,甚至偶尔会出现服务不可用的“错误”。

在最近观察到的一波攻击活动中,软件包版本数量达到了 142 万个,显然比 npm 上发布的约 80 万个软件包数量大幅上升。

Harush Kadouri 解释称攻击者“借用”开源存储库在搜索引擎中排名创建流氓网站,并在 README.md 文件中上传空的 npm 模块和指向这些网站的链接。由于开源生态系统在搜索引擎上享有盛誉,任何新的开源软件包及其描述都会继承这一良好声誉,并在搜索引擎中得到很好的索引,因此毫无戒心的用户更容易看到它们。1681183057_6434d15146d5423ae5d28.png!small

值得注意的是,鉴于整个攻击过程都是自动化的,众多虚假软件包同时发送产生的负载导致 NPM 在 2023 年 3 月底时间歇性地出现了稳定性问题。

Checkmarx 指出,此次攻击活动背后可能有多个威胁攻击者,其最终目的也略有差别,大致可分作为以下三种:

第一是利用 RedLine Stealer、Glupteba、SmokeLoader 和加密货币矿工等恶意软件感染受害者的系统;第二是使用恶意链接会将用户索引至类似速卖通这样的具有推荐 ID 的合法电子商务网站,一旦受害者在这些平台上购买商品,攻击者就会获得分成利润;

第三类则是邀请俄罗斯用户加入专门从事加密货币的 Telegram 频道。

最后,Harush Kadouri 强调攻击者会不断地利用新技术来发动网络攻击活动,因此在同毒害软件供应链生态系统的攻击者进行斗争具有很强的挑战性, 为了防止此类自动化攻击活动,建议 npm 在创建用户帐户时采用反机器人技术。

参考文章:

https://thehackernews.com/2023/04/hackers-flood-npm-with-bogus-packages.html

# 恶意软件
本文为 独立观点,未经允许不得转载,授权请联系FreeBuf客服小蜜蜂,微信:freebee2022
被以下专辑收录,发现更多精彩内容
+ 收入我的专辑
+ 加入我的收藏
相关推荐
  • 0 文章数
  • 0 关注者