CuteBoi:超过 1200 个 NPM 包加入挖矿逻辑

CuteBoi:超过 1200 个 NPM 包加入挖矿逻辑

事件简述

近日,checkmarx研究人员公开了一起涉及众多包的NPM软件供应链攻击事件。事件最早可以追溯到 2021年12月,攻击者投放了1200多个包含混淆加密的恶意 NPM ,这些包拥有相同的挖矿脚本(eazyminer),该脚本的目的是利用如 Database和 Web 等所在服务器的机器闲置资源进行挖矿。

攻击事件分析

攻击手法

CuteBoi 主要依赖mail.tm提供的一次性电子邮件服务和免费的邮件获取 API ,攻击者可以通过该API在发布包时绕过双因子验证(2FA),创建大量用户账号。

CuteBoi:超过 1200 个 NPM 包加入挖矿逻辑
CuteBoi:超过 1200 个 NPM 包加入挖矿逻辑

(恶意包中的eazyminer调用代码片段)

包中分别包含Linux和Windows中的可执行文件ronbhdcvpqkxwget和ronbhdcvpqkxwget.exe。

CuteBoi:超过 1200 个 NPM 包加入挖矿逻辑

(目录中的挖矿程序)

在判断操作系统环境信息后进行调用。

CuteBoi:超过 1200 个 NPM 包加入挖矿逻辑

(判断环境信息)

攻击影响

如果开发者安装了这些包,则会在被调用时挖掘Monero币。由于eazyminer的作者在源代码中设置了cpu优先级(eazyminer)为0,因此挖矿进程不会抢占其他进程的已有资源,不容易被察觉。开发者在检查时认为服务器处于正常运行的状态,但挖矿包很有可能在后台偷偷执行。

CuteBoi:超过 1200 个 NPM 包加入挖矿逻辑

(eazyminer原作者的声明)

本周OSCS社区监测到至少3起以上的投毒挖矿事件,建议开发者及时关注。

参考链接

  1. https://checkmarx.com/blog/cuteboi-detected-preparing-a-large-scale-crypto-mining-campaign-on-npm-users/
  2. checkmarx研究人员公开了恶意软件包的列表,恶意包存放地址:https://cuteboi.info/

了解更多

1、免费使用 OSCS 的情报订阅服务

OSCS (开源软件供应链安全社区)会第一时间发布开源项目最新的安全风险动态,包括开源包安全漏洞、投毒情报等信息,社区用户可通过企微、钉钉、飞书等方式进行订阅。

具体订阅方式详见:

https://www.oscs1024.com/docs/vuln-warning/intro/

CuteBoi:超过 1200 个 NPM 包加入挖矿逻辑
CuteBoi:超过 1200 个 NPM 包加入挖矿逻辑

发布者:墨菲安全,转发请注明出处:https://www.murphysec.com/blog/poisoning-analysis/4327.html

(0)
上一篇 2023年1月4日 18:46
下一篇 2023年1月5日 14:19

相关推荐

  • 投毒者对 PyPi 上的开源组件开发者下手了

    简述 OSCS 近期监测到 PyPi 官方发布公告称有攻击者针对 PyPi 上的开源组件开发者进行钓鱼,试图窃取 PyPi 贡献者的凭据。本次攻击是通过贼喊捉贼的假装PyPi官方给恶意包发邮箱进行钓鱼,开发者可以通过开启2FA认证防止被攻击者窃取凭据后更改项目。 钓鱼事件 通过钓鱼邮件获取 PyPi 贡献者的凭据 根据PyPi官方发布的公告得知: PyPi …

    2023年1月5日
  • 多个不同名称的 PyPI 包中发现 W4SP 窃取器

    威胁参与者已经向 Python 包索引(PyPI)发布了另一轮恶意软件包,目的是在受到威胁的开发人员机器上发布窃取信息的恶意软件。 有趣的是,尽管这个恶意软件有很多名字,比如ANGEL Stealer,Celestial Stealer,Fade Stealer,Leaf $tealer,PURE Stealer,Satan Stealer和@skid St…

    2023年2月17日
  • btwiuse在 NPM 仓库中发布后门组件

    事件简述 NPM 是 Node.js 包管理工具,提供了对第三方 Node.js 包的查找、下载、安装、卸载等功能。 2022 年 07 月 04 日,OSCS 监测发现 NPM 官方仓库被 btwiuse 上传了 btwiuse、k0s 恶意组件包,使用恶意组件包后会在用户电脑上加载名为 k0s 的远控木马,危害较为严重,OSCS 提醒广大开发者关注。 详…

    2023年1月5日
  • shaikhyaser在NPM 仓库中投放67个恶意包

    一、事件简述: 7 月 16 日 ,OSCS 安全社区监测到shaikhyaser一天内在NPM仓库中不间断投放了十多个组件包,这些组件包都包含恶意行为。截止到21日,该用户已向 NPM 仓库投放了 67个不同版本的的恶意组件包,这些包也在代码中注明了该用户的邮箱,推测是hackerone中的用户。 这些恶意包的攻击方式相同,下面来分析其攻击手法。 二、 手…

    2023年1月5日
  • ihateniggers:针对Python开发者的Windows远控木马分析

    背景 墨菲安全实验室在持续监测开源软件仓库中的投毒行为,5 月 9 日起发现 4 个包含 “ihateniggers” 远程控制木马的 Python 包被 nagogy@gmail.com 邮箱关联的账号发布到 PyPI 仓库,试图针对Windows系统下 Python 开发者进行攻击。木马利用了discord、replit、play…

    2023年5月12日

发表回复

您的电子邮箱地址不会被公开。 必填项已用 * 标注

联系我们

400-180-9568

邮件:hi@murphysec.com

工作时间:周一至周五,10:00-19:00,节假日休息

关注公众号

20230105-100741