鑽石舞台

卡巴斯基在上周發布報告稱，NPM 倉庫中存在四個包括高度混淆的惡意 Python 和 JavaScript 代碼的程序包。

報告指出，這些惡意包在傳播 「Volt Stealer」 和 「Lofty Stealer」 惡意軟件，收集受害者信息如 Discord令牌和信用卡信息，並實施監控。Volt Stealer 用於竊取 Discord 令牌並從受感染計算機中收割人們的IP地址，之後通過HTTP 被上傳給惡意人員。Lofty Stealer 是一個新發現的威脅，可感染 Discord 客戶端文件並監控受害者的操作。例如，該惡意軟件檢測用戶何時登錄、修改郵件或密碼詳情或者啟用或禁用多因素認證。同時它還監控用戶何時新增支付方法，並將收割全部的信用卡詳情。這些收集的信息隨後被上傳至遠程端點。

這些程序包名稱為 「small-sm」、「pern-valids」、「lifeculer」和「proc-title」。雖然npm 已將這些以惡寶刪除，但已經下載這些惡意包的開發人員的應用程序仍然面臨風險。

入侵 Discord 令牌

針對 Discord 可觸及更多目標，因為被盜 Discord 令牌可用於對受害者的朋友們進行魚叉式釣魚攻擊。但Fortinet 公司的首席安全戰略官兼全球威脅副總裁Derek Manky 指出，組織機構的攻擊面將各不相同，具體取決於對多媒體通信平台的使用情況。他解釋稱，「威脅級別將不會是第一級別如Log4j等，因為圍繞攻擊面的這些概念與這些向量相關聯。」

Discord 用戶可防禦此類攻擊，「當然，和任何遭針對的應用程序一樣，覆蓋 kill chain 是降低風險和威脅級別的有效方式。」這意味着可設置策略，根據用戶資料、分段情況等正確使用 Discord。

為何NPM成為軟件供應鏈攻擊的入口點

NPM 軟件包倉庫擁有超過1100萬名用戶，程序包的下載量達到數百億。不論是經驗豐富的 Node.js 開發人員還是其他人都在使用NPM包。

這些開源的 NPM 模塊用於 Node.js 生產應用和不使用 Mode 的應用的開發工具中。如果開發人員不可避免地拉取惡意包構建應用，則惡意軟件可針對該應用的終端用戶。如此，此類軟件供應鏈攻擊要比攻擊某個個體公司更加「事半功倍」。

BluBracket 公司的產品和開發賦能負責人 Casey Bisson 指出，「開發人員普遍應用的情況使其成為龐大目標。」NPM 雖然並未向數量龐大的目標提供攻擊向量，但目標本身不只是最終用戶。他指出，「企業和個體開發人員都比普通人員擁有更多資源，獲得開發人員機器或企業系統灘頭堡後，橫向攻擊通常也會碩果纍纍。」

Tigera 公司的資深安全研究員 Garwood Pang 指出，雖然 NPM 雖然是最流行的 JavaScript 包管理器之一，但並未所有人都是行家，了解如何使用它。他指出，「這就使得開發人員訪問龐大的開源包庫，增強其代碼安全。然而，得益於易用性和清單數量，經驗不足的開發人員可在毫不知情的情況下導入惡意包。」

然而，識別惡意包並非易事。Synopsys 公司的網絡安全研究中心首席安全戰略師 Tim Mackey 表示，構成一般NodeJS 包的組件數量龐大。他指出，「當同樣的問題存在很多不同的合法解決方案時，能夠識別出任意功能的正確實現就是困難的。再加上惡意實現可被其它組件引用，任何人都難以判斷他們所選擇的組件是否按說明那樣起作用且不包含或引用非預期功能，更是如此。」

軟件供應鏈攻擊在增多

重大供應鏈攻擊對於軟件供應鏈意識提升和決策而言起着重大影響，攻擊面監控獲得更多投入。

Mackey 指出，軟件供應鏈一直以來均是攻擊目標，尤其是從購物車或開發工具的框架攻擊來看更是如此。他指出，「我們最近發現，我們曾經歸為惡意軟件或數據泄露的攻擊實際上是對組織機構在創建和使用軟件中所放置信任的攻陷。」

Mackey 還提到，很多人認為廠商創建的軟件完全是由該廠商開發的，但實際上即使是最簡單的軟件也是由數百個第三方庫構成的，如Log4j就是如此。他表示，「這些庫實際上是該應用軟件供應鏈內部的供應方，但使用任何既定供應方的決策是由解決特性問題的開發人員做出的，而非由關注業務風險的商務人員決定的。」

由此催生了軟件物料清單要求。另外，5月份MITRE發布了針對信息和通信技術的原型框架，定義並量化了針對包括軟件在內的供應鏈的風險和安全問題。