close

聚焦源代碼安全,網羅國內外最新資訊!

編譯:代碼衛士

專欄·供應鏈安全

數字化時代,軟件無處不在。軟件如同社會中的「虛擬人」,已經成為支撐社會正常運轉的最基本元素之一,軟件的安全性問題也正在成為當今社會的根本性、基礎性問題。

隨着軟件產業的快速發展,軟件供應鏈也越發複雜多元,複雜的軟件供應鏈會引入一系列的安全問題,導致信息系統的整體安全防護難度越來越大。近年來,針對軟件供應鏈的安全攻擊事件一直呈快速增長態勢,造成的危害也越來越嚴重。

為此,我們推出「供應鏈安全」欄目。本欄目匯聚供應鏈安全資訊,分析供應鏈安全風險,提供緩解建議,為供應鏈安全保駕護航。

註:以往發布的部分供應鏈安全相關內容,請見文末「推薦閱讀」部分。


研究人員發現,2021年12月攻擊者利用數十個包括混淆 JavaScript 代碼的惡意 NPM 模塊攻陷了數百個下游桌面應用和網站,發動NPM供應鏈攻擊。

ReversingLabs 公司的研究人員發現,這起攻擊活動(被稱為「IconBurst」)的幕後威脅行動者使用typosquatting 感染那些尋非常熱門程序包如 umbrellajs 和 ionic.io NPM模塊的開發人員。

如果被類似的模塊命名所愚弄,這些開發人員就會把惡意程序包加載到應用或網站中,導致數據被竊取。例如,該攻擊中利用了惡意NPM程序包 icon-package 的下載量達到1.7萬次,旨在將序列化形式的數據提取到多個受攻擊者控制的域名中。

研究人員指出,IconBurst「依賴的是typo-squatting(攻擊者通過公有庫提供命名類似於合法程序包或是常見合法程序包的錯誤拼寫的程序包),此外,用於提取數據的域名之間的相似之處表明,這起攻擊活動中的多個模塊受同一個行動者控制」。

某些惡意模塊仍可下載

雖然研究人員在2022年7月1日將情況告知 NPM 安全團隊,但目前仍然可從NPM註冊表中下載某些 IconBurst 惡意程序包。

研究人員指出,「雖然一些已提到的程序包已從NPM刪除,但在本報告撰寫期間多數仍可下載。」

雖然研究人員可編譯IconBurst 供應鏈攻擊中使用的惡意程序包清單,但其影響仍有待確定,因為無法了解從2021年12月起攻擊者到底從應用和網頁中竊取了多少數據和憑據。目前的唯一指標是每個惡意 NPM 模塊被安裝的次數,研究人員目前掌握的數據只是開始。

研究人員指出,「雖然這起攻擊的完整影響範圍尚不清楚,但我們發現的惡意程序包可能已用於至少數百款下游的移動和桌面應用程序和網站。NPM模塊中綁定的惡意代碼在數量未知的移動和桌面應用程序和網頁中運行,收割數量未知的用戶數據。目前團隊識別出的NPM模塊的下載總量已超過2.7萬次。」


代碼衛士試用地址:https://codesafe.qianxin.com
開源衛士試用地址:https://oss.qianxin.com





推薦閱讀

在線閱讀版:《2021中國軟件供應鏈安全分析報告》全文

奇安信開源軟件供應鏈安全技術應用方案獲2022數博會「新技術」獎

更好的 DevSecOps,更安全的應用

他坦白:只是為了研究才劫持流行庫的,你信嗎?

熱門PyPI 包 「ctx」 和 PHP庫 「phpass」 長時間未更新遭劫持,用於竊取AWS密鑰

從美行政令看軟件供應鏈安全標準體系的構建

研究員發現針對 GitLab CI 管道的供應鏈攻擊

五眼聯盟:管理服務提供商遭受的供應鏈攻擊不斷增多

趁機買走熱門包唯一維護人員的郵件域名,我差點發動npm 軟件供應鏈攻擊

RubyGems 包管理器中存在嚴重的 Gems 接管漏洞

美國商務部機構建議這樣生成軟件供應鏈 「身份證」

《軟件供應商手冊:SBOM的生成和提供》解讀

和GitHub 打官司?熱門包 SheetJS出走npmjs.com轉向自有CDN

不滿當免費勞力,NPM 熱門庫 「colors」 和 「faker」 的作者設無限循環

NPM流行包再起波瀾:維護人員對俄羅斯用戶發特定消息,誰來保證開源可信?

NPM邏輯缺陷可用於分發惡意包,觸發供應鏈攻擊

攻擊者「完全自動化」發動NPM供應鏈攻擊

200多個惡意NPM程序包針對Azure 開發人員,發動供應鏈攻擊

哪些NPM倉庫更易遭供應鏈攻擊?研究員給出了預測指標

NPM 修復兩個嚴重漏洞但無法確認是否已遭在野利用,可觸發開源軟件供應鏈攻擊

熱門NPM庫 「coa」 和「rc」 接連遭劫持,影響全球的 React 管道

速修復!熱門npm 庫 netmask 被曝嚴重的軟件供應鏈漏洞,已存在9年

25個惡意JavaScript 庫通過NPM官方包倉庫分發

Pwn2Own大賽回顧:利用開源服務中的嚴重漏洞,攻陷西部數據My Cloud PR4100

開源網站內容管理系統Micorweber存在XSS漏洞

熱門開源後端軟件Parse Server中存在嚴重的 RCE ,CVSS評分10分

開源組件11年未更新,嚴重漏洞使數百萬安卓按設備易遭遠程監控

開源工具 PrivateBin 修復XSS 漏洞

奇安信開源組件安全治理解決方案——開源衛士

原文鏈接

https://www.bleepingcomputer.com/news/security/npm-supply-chain-attack-impacts-hundreds-of-websites-and-apps/

題圖:Pixabay License

本文由奇安信編譯,不代表奇安信觀點。轉載請註明「轉自奇安信代碼衛士 https://codesafe.qianxin.com」。

奇安信代碼衛士 (codesafe)

國內首個專注於軟件開發安全的產品線。

覺得不錯,就點個「在看」 或 "贊」 吧~

arrow
arrow
    全站熱搜
    創作者介紹
    創作者 鑽石舞台 的頭像
    鑽石舞台

    鑽石舞台

    鑽石舞台 發表在 痞客邦 留言(0) 人氣()