首起针对国内金融企业的开源组件投毒攻击事件
简述
2023 年 8 月 9 日,墨菲监控到用户名为 snugglejack_org (邮件地址:SnuggleBearrxx@hotmail.com)的用户发布到 NPM 仓库中的 ws-paso-jssdk 组件包具有发向 https://ql.rustdesk[.]net 的可疑流量,经过确认该组件包携带远控脚本,从攻击者可控的 C2 服务器接收并执行系统命令,该组件包于 2023 年 8 月 10 日 7 点 21 分从 NPM 仓库下架。
经过持续跟踪发现,该投毒者继续向 NPM 仓库继续发布了 pingan-vue-floating 等类似恶意组件包,投毒包的恶意 C2 地址改为了 62.234.32.226 ,此 IP 为以北京腾讯云提供,并且投毒包以 pingan、ynf 等命名,很大几率是针对国内厂商(例如中国*安),投毒者通过模拟目标企业内部私有源组件命名进行混淆,进而通过诱导用户企业内部用户下载投毒组件包实现对目标机器的远控入侵,这是目前公开发现的首起针对国内金融企业的开源组件投毒攻击事件。
截至 2023 年 8 月 14 日,投毒包仍可在 NPM 腾讯源进行下载(见图 1),用户可通过 npm ls 判断是否下载了恶意组件,批量检测投毒检测可联系墨菲安全使用产品工具进行全网一键排查,最近正值大型攻防演练,建议大家认真排查。
投毒分析
以 pingan-vue-floating-0.0.7 组件为例,该组件包通过 pm2 创建守护线程,每隔 45 秒后向攻击者可控的恶意 C2 服务器发送请求维持心跳,进而接收并执行攻击者发送的系统命令:
此次事件的攻击者投毒的所有组件列表
排查工具及投毒情报
墨菲安全提供产品可实时拦截针对开源组件的投毒
墨菲安全的私有源网关产品可对 npm、pip、maven 等中央仓库的投毒事件进行实时的检测和拦截,同时支持对高危漏洞实现基线管理,目前该产品已在蚂蚁、小米、中国电信、中国移动等数十家客户落地应用。
申请演示 &试用通道:
https://www.murphysec.com/enterprise
墨菲安全提供实时的开源组件投毒情报预警可订阅
墨菲安全 0day 漏洞及投毒情报覆盖最新的 0day、1day 及投毒情报预警,所有情报经过严格的安全专家研判,保障企业获取的第一手的高质量漏洞及投毒情报,更有比 CVE 漏洞库多 25+额外的详细分析字段,目前该产品已在蚂蚁、美团、中国电信等数十家客户落地应用。
申请演示 &试用通道:
版权声明: 本文为 InfoQ 作者【墨菲安全】的原创文章。
原文链接:【http://xie.infoq.cn/article/8eb1c3da8917f20efe19a2e72】。
本文遵守【CC-BY 4.0】协议,转载请保留原文出处及本版权声明。
还未添加个人签名 2022-03-23 加入
还未添加个人简介
评论