開源存儲(chǔ)庫(kù)上的幾個(gè)惡意npm包已被用于供應(yīng)鏈攻擊和網(wǎng)絡(luò)釣魚活動(dòng)。

這些指控來自ReversingLabs的研究人員，他們?cè)谏现馨l(fā)表的一篇博客文章中表示，這些軟件包具有雙重威脅，一方面影響應(yīng)用程序最終用戶，另一方面支持基于電子郵件的網(wǎng)絡(luò)釣魚攻擊，主要針對(duì)Microsoft 365用戶。

軟件威脅研究人員Lucija valentiki表示，該團(tuán)隊(duì)在5月11日至6月13日期間發(fā)現(xiàn)了十多個(gè)惡意npm軟件包。

這些包模仿合法模塊，例如每周有數(shù)百萬次下載的jquery。盡管惡意軟件包被下載了大約1000次，但在檢測(cè)到它們后，它們很快就從npm中刪除了。

由于使用惡意基礎(chǔ)設(shè)施來促進(jìn)受害者數(shù)據(jù)的盜竊，ReversingLabs將此活動(dòng)命名為Brainleeches行動(dòng)。

在行動(dòng)的第一部分，研究人員發(fā)現(xiàn)了六個(gè)專門用于網(wǎng)絡(luò)釣魚攻擊的軟件包。這些軟件包與網(wǎng)絡(luò)釣魚活動(dòng)有關(guān)，這些釣魚活動(dòng)通過惡意電子郵件附件發(fā)送的欺騙性http://Microsoft.com登錄表單收集用戶數(shù)據(jù)。

第二批包括七個(gè)針對(duì)電子郵件網(wǎng)絡(luò)釣魚活動(dòng)和軟件供應(yīng)鏈攻擊的軟件包。這些包旨在將憑證收集腳本植入無意中包含惡意npm包的應(yīng)用程序中。

ReversingLabs的分析顯示，惡意的npm包在活躍的網(wǎng)絡(luò)釣魚攻擊中發(fā)揮了作用，這些攻擊可能是由低技能的攻擊者進(jìn)行的。雖然供應(yīng)鏈攻擊的全面范圍尚不清楚，但使用混淆的代碼和調(diào)用jquery等流行的包名，引發(fā)了人們對(duì)潛在危害的擔(dān)憂。

瓦倫蒂奇說：“這一發(fā)現(xiàn)強(qiáng)調(diào)了組織對(duì)惡意或被破壞的開源軟件包保持警惕的重要性。這次活動(dòng)進(jìn)一步強(qiáng)調(diào)了組織需要注意開源軟件包可能是惡意的或被破壞的跡象。通常，這些攻擊取決于開發(fā)者對(duì)命名細(xì)節(jié)的忽視，但這并不是全部?！?/strong>