npm 生态系统再次遭到持续性 Skuld 信息窃取程序的渗透,这是一种臭名昭著的恶意软件,以开发人员为目标,提供欺骗性软件包。Socket 的威胁研究团队揭露了这一由威胁行为者 “k303903 ”领导的活动,它对个人开发者和组织都构成了重大风险。

这次攻击利用伪装成合法工具的 npm 软件包,包括 windows-confirm、windows-version-check、downloadsolara 和 solara-config。这些软件包在被删除前被下载了 600 多次,危及了大量开发机器。报告强调,这表明 “即使是低复杂度的攻击也能迅速获得牵引力”。

Socket 研究人员注意到,混淆、错别字和依赖商品恶意软件的模式一再出现,这与一个月前针对 Roblox 开发人员的类似攻击如出一辙。报告指出:“Skuld 信息窃取程序重返 npm 凸显了一种反复出现的模式:攻击者获得立足点,取得短暂成功,然后迅速调整,以新的打包和分发策略重新引入威胁。”

威胁方利用 Obfuscator.io 隐藏恶意代码并逃避检测。安装后,托管在URL上的有效负载会被悄悄执行,而URL的设计看起来是合法的(包括冒充Cloudflare的域)。此外,该攻击还使用 Discord 网络钩子进行数据外渗,混入合法的通信和测试环境。

这一活动体现了威胁行为者如何利用可信供应链传播恶意软件。攻击者伪装成生产力和开发工具,欺骗开发人员在不知情的情况下执行恶意代码。

npm 注册表迅速采取行动,在数天内删除了恶意软件包。然而,受影响用户受到的影响仍然很大。报告警告说:“凭证、令牌和其他敏感数据很可能被窃取,从而危及个人开发者和组织网络。”即使是像这次这样短暂的攻击活动也会造成长期后果,因为被泄露的凭证可能在攻击结束后很长时间仍会被利用。

文章原文链接:https://www.anquanke.com/post/id/302914