Checkmarx 的研究人員最近在Node Package Manager (NPM) 生態系統中發現了一種複雜的供應鏈攻擊,該攻擊將傳統的惡意軟體策略與基於區塊鏈的命令和控制(C2) 操作相結合。這次攻擊以使用以太坊區塊鏈為標誌,揭示了軟體開發領域不斷演變的威脅,透過偽裝成合法JavaScript 測試工具的惡意套件針對開發人員。
這個惡意軟體包名為“jest-fet-mock”,旨在透過模仿眾所周知的測試實用程式來欺騙開發人員。此攻擊採用多平台惡意軟體結構設計,利用以太坊智慧合約作為獨特的C2 機制。 Checkmarx 研究人員指出,雖然區塊鏈技術通常用於支援去中心化應用程式和數位資產,但其與惡意軟體策略的整合代表了網路威脅策略的重大創新。
相關文章BC.Game 透過加密貨幣和區塊鏈整合提升線上遊戲Verix 透過區塊鏈和生成AI 革新驗證BBVA 的代幣化基金試點為區塊鏈金融鋪平道路透過Laika AI 和Orbofi 合作夥伴關係增強Web3 使用者的AI 存取權限攻擊機制和欺騙性分發技術
該軟體包「jest-fet-mock」於10 月中旬出現,並偽裝成JavaScript 實用程序,使用拼字錯誤技術來瞄準開發人員。透過巧妙地將軟體包名稱“fetch-mock-jest”拼寫為“fet”,攻擊者製作了對“fetch-mock-jest”和“Jest-Fetch-Mock”等流行軟體包的近乎完美的模仿。前者每週吸引約20 萬次下載,而後者每週下載量超過100 萬次,使其成為冒充的主要目標。這個小打字錯誤很容易誘騙開發人員下載惡意軟體包,而不知道其隱藏的議程。
安裝後,惡意軟體套件會利用NPM 預先安裝腳本在目標系統(包括Windows、Linux 和macOS 平台)上執行有害程式碼。然後,它啟動資訊竊取功能,使惡意軟體能夠存取開發環境中的敏感資訊。該惡意軟體透過客製化的系統機制確保持久性,即使在初始安裝後仍保持活動狀態。該軟體包的所有變體都與遠端C2 伺服器通信,攻擊者可以在其中監視受感染的系統並升級攻擊。
以太坊在命令與控制操作中的作用
不同尋常的是,攻擊者利用以太坊區塊鏈建立C2 通信,這是這種方法首次出現在NPM 生態系統中。與攻擊相關的以太坊智能合約位於位址“0xa1b40044EBc2794f207D45143Bd82a1B86156c6b”,使用其“getString”函數將C2 伺服器位址分發給受感染的系統。這種基於區塊鏈的方法利用了區塊鏈的安全性和去中心化性質,這使得傳統的網路安全工具難以檢測或刪除。這項創新使攻擊者能夠維護一個有彈性的C2 基礎設施,由於區塊鏈的不變性而不受攻擊和監控的影響。
威脅分析和回應挑戰
Checkmarx 的進一步分析顯示,惡意軟體變體是針對特定作業系統而設計的,每個變體都具有唯一的SHA-256 識別碼:
Windows:df67a118cacf68ffe5610e8acddbe38db9fb702b473c941f4ea0320943ef32ba
Linux:0801b24d2708b3f6195c8156d3661c027d678f5be064906db4fefe74e1a74b17
macOS:3f4445eaf22cf236b5aeff5a5c24bf6dbc4c25dc926239b8732b351b09698653
這些惡意軟體樣本尚未被VirusTotal 上提供的安全偵測工具標記為惡意,從而使攻擊能夠逃避傳統的偵測方法。這種未被偵測到的存在為開發環境帶來了持續的風險,因為NPM 實用程式通常整合到關鍵的持續整合和持續部署(CI/CD) 管道。這種攻擊可能使威脅行為者能夠滲透CI/CD 流程,從而可能危及整個軟體供應鏈。
除了Checkmarx 的調查結果之外,Phylum 和Socket 還報告了與此活動相關的更多惡意軟體包,這表明NPM 生態系統中存在更大且不斷升級的威脅。攻擊者使用區塊鏈作為C2 機制反映了供應鏈攻擊策略的演變,其速度超過了許多傳統的網路安全方法,這些方法可能難以有效地監控或攔截基於區塊鏈的通訊。
開發團隊的緩解與警惕
這次攻擊強調了增強軟體開發團隊安全實踐的重要性。鑑於該活動複雜的欺騙技術及其對區塊鏈基礎設施的使用,敦促開發人員嚴格審查其包管理實踐。專家建議驗證測試實用程式的真實性並實施嚴格的安全協議以防止類似的入侵。
針對這一事件,Checkmarx 強調需要在整個開發環境中採取更強大的安全措施來應對此類先進的供應鏈攻擊。透過了解「jest-fet-mock」和類似軟體包暴露的漏洞,組織可以更好地保護其CI/CD 工作流程和整體軟體供應鏈的完整性。這次攻擊對該行業發出了重大警告,敦促警惕攻擊者利用區塊鏈等新興技術製造更具彈性和難以捉摸的網路威脅。
資訊來源:由0x資訊編譯自COINTRUST。版權所有,未經許可,不得轉載
