热门Npm组件COA疑遭劫持 恐导致数百万项目的开发者帐密遭窃
发布时间:2021-11-08 00:17:05 所属栏目:动态 来源:互联网
导读:锁定Npm用户而来、并以带有恶意功能的组件发动攻击,今年已陆续发生多起。例如,提供UAParser.js组件的开发者Faisal Salman于10月底表示,他的Npm账号遭到他人挟持,并发布了带有恶意程序的版本,而使得Npm母公司与美国政府都提出警告,呼吁用户不只要尽快移
|
锁定Npm用户而来、并以带有恶意功能的组件发动攻击,今年已陆续发生多起。例如,提供UAParser.js组件的开发者Faisal Salman于10月底表示,他的Npm账号遭到他人挟持,并发布了带有恶意程序的版本,而使得Npm母公司与美国政府都提出警告,呼吁用户不只要尽快移除具有恶意功能的UAParser.js,还应该更换受害计算机上各式应用程序的密码。 但不到半个月,类似的事件再度上演。根据安全新闻网站Bleeping Computer的报道,名为COA(Command-Option-Argument)的热门组件疑似遭到劫持,而在数个小时内连续发布带有恶意程序的版本。 这个组件用途,是提供开发者以命令行下达指令的解析器,最后版本(2.0.2版)于2018年12月推出,平均每个星期约有9百万次下载,粗估目前GitHub上有5百万个开源项目采用,影响范围可能相当广泛。 一旦计算机遭到恶意版本的COA入侵,就有可能被部署Danabot窃密软件,并将偷得的各式帐密、信用卡资料、屏幕截屏,以及监听按钮资料等,回传给攻击者。针对这起事故,用户要删除有问题的组件与相关文件来应对,再者,组件开发者也应该通过采用多因素验证(MFA),来避免自己的Npm账号遭到异常访问。 这起攻击事件是如何被发现的呢?约在11月4日晚间,React程序开发者Roberto Wesley Overdijk留意到,COA在相隔近3年后不寻常地发布新的版本,经过他的比对,新的版本带有恶意程序代码,并会在后台尝试执行后台程序。该名开发人员指出,虽然他不确定发布恶意版本COA的人士意图为何,但这些“新版本”已经破坏网络上采用COA组件的软件项目。 这些含有恶意内容的COA组件发布后不久,也受到多名开发者加入讨论此事,并表示他们的软件开发项目在这些新版组件推出后,遭遇到编译上的错误。 上述情况Npm获报后,就将含有恶意程序版的COA组件下架。但在数个小时之后,又有另一个名为RC的Npm传出类似的情况,发布了1.2.9、1.3.9、2.3.9等3个恶意版本。 从COA组件出现恶意版本的事故看来,与前述UAParser.js组件开发者账号遭黑的情形,可说是相当类似,不同之处是UAParser.js的开发者出面证实,他的Npm账号遭到挟持,而COA的开发者并未现身说明。 但这两起攻击事件究竟有没有关联?根据Bleeping Computer的分析,他们发现存在于恶意版本COA的攻击程序代码,与恶意版本UAParser.js所带有的攻击程序代码,内容几乎一致,研究人员推测,背后的攻击者可能有所关联。 再者,研究人员指出,攻击者的COA、UAParser.js,以及RC恶意版本,都是挟带名为Danabot的木马程序,并通过regsvr32.exe与rundll32.exe来执行。 (编辑:衡阳站长网) 【声明】本站内容均来自网络,其相关言论仅代表作者个人观点,不代表本站立场。若无意侵犯到您的权利,请及时与联系站长删除相关内容! |
