导读 这些包的目标是从MicrosoftAzure开发人员的端点窃取个人身份信息(PII)。根据TheRegister的一份报告,安全公司JFrog对存储库的自动分析在本
这些包的目标是从MicrosoftAzure开发人员的端点窃取个人身份信息(PII)。根据TheRegister的一份报告,安全公司JFrog对存储库的自动分析在本周早些时候开始对可疑上传发出警报。此后,人工检查发现了一组200多个包,所有这些包本质上都是恶意软件。
我们正在研究我们的读者如何在不同的设备上使用VPN,以便我们可以改进我们的内容并提供更好的建议。这项调查花费的时间不应超过60秒,来自英国和美国的参赛者将有机会参与抽奖,获得100英镑的亚马逊礼品卡(或等值美元)。感谢您的参与。
“在手动检查了其中一些包后,很明显这是针对整个@azurenpm范围的有针对性的攻击,攻击者使用自动脚本创建帐户并上传覆盖整个范围的恶意包,”安全研究人员AndreyPolkovnychenko和ShacharMenashe在对事件的分析中说。
为了欺骗开发人员,攻击者将恶意软件包与非恶意软件包同名,但缺少@azure范围标识符。
研究人员解释说:“攻击者依赖于一些开发人员在安装软件包时可能错误地省略了@azure前缀这一事实。”“例如,错误地运行npminstallcore-tracing,而不是正确的命令-npminstall@azure/core-tracing。”
但这并不是攻击者试图欺骗人们下载这些恶意软件包的唯一方法。他们还添加了高版本号,希望内部npm私有代理首先搜索更新版本的包。
最后,攻击者通过自动脚本上传包,该脚本为每次上传创建一个唯一的用户名,可能是希望避免常见的检测方法。
总共上传了218个恶意包,并在两天内到位。在此期间,它们平均被下载了50次,总共大约有10,000名潜在受害者。
标签: