数百个下载能够传播 Rootkit 的恶意 NPM 软件包

供应链安全公司 ReversingLabs 警告称,最近观察到的一次恶意活动依靠拼写错误来诱骗用户下载恶意 NPM 软件包,该软件包会通过 rootkit 感染他们的系统。

该恶意软件包名为“node-hide-console-windows”,旨在模仿 NPM 存储库上合法的“node-hide-console-window”软件包,首次出现于 8 月底,但已积累了 700多个删除之前 下载。

为了确保恶意包与合法包难以区分,威胁行为者不仅模仿了包名称,还模仿了存储库内容,发布了十个版本的代码,与真正的“node-hide-console”相同-窗户'。

执行后,恶意代码将从远程位置获取可执行文件,该可执行文件是 DiscordRAT 2.0 的副本,这是一种开源远程访问木马 (RAT),声称其创建“仅供教育用途”。

设置完成后,DiscordRAT 会在关联的 Discord 服务器中创建一个频道,然后等待来自其操作员的其他命令。RAT 可以从受感染的系统中窃取信息,可以禁用安全程序、杀死进程、阻止使用鼠标和键盘,甚至关闭系统。

ReversingLabs 对此次攻击中使用的恶意软件变体的分析还显示,其中包含对新命令的支持,该命令允许威胁行为者在受害者的系统上启动旧版本的 r77 rootkit。

r77 是一种开源恶意软件,易于部署,可以与其他软件捆绑在一起,并且可以通过两个注册表子项(一个用于可执行路径,另一个用于恶意软件进程)隐藏其在系统上的存在。

据 ReversingLabs 称,该恶意软件包的所有 10 个版本都下载了提供 DiscordRAT 2.0 的相同可执行文件,而 DiscordRAT 2.0 又可以执行 r77 rootkit。RAT 还包含删除 rootkit 的命令。

该恶意软件包的最新两个版本还包含用于获取 PyInstaller 编译的可执行文件的代码,该可执行文件为 Blank-Grabber 信息窃取程序提供服务。

恶意“node-hide-console-windows”软件包已从 NPM 存储库中删除。

对开源开发者的威胁

尽管威胁行为者努力使恶意软件包看起来值得信赖,但该活动并没有表现出复杂的迹象,特别是考虑到使用了很容易检测到的开源恶意软件,但其造成的威胁不应被低估。

无论这次活动的复杂程度如何,这些软件包都凸显了潜伏在 NPM 或 PyPI 等公共存储库以及 GitHub 上的始终存在且不断增长的危险。像 Rootkit 这样危险和具有侵入性的东西对每个人来说都很容易获得,并且有详细的记录,并且随时可以使用。

这次攻击突显了开发人员在没有首先彻底验证开源软件包的情况下信任开源软件包时所面临的风险。

从大多数包管理器安装任何软件包,基本上都会运行作者编写的代码。这给软件包开发者带来了很大的信任,而这种信任可能会被滥用,从而使威胁行为者能够危害任何下载和安装该软件包的系统,”洛哈尼在一封电子邮件评论中说。

此次活动再次表明威胁行为者对开源环境越来越感兴趣,这使得他们能够发起有影响力的供应链攻击。

开源软件包是全球分布的许多企业软件系统的基础,也是供应链安全近年来成为优先事项的原因之一。保护这些环境的网络安全技术必须覆盖每个位置、每台设备上的每个用户。

下载恶意软件包并感染 r77 rootkit 的开发人员应该重新安装系统,以删除任何恶意软件。

由于 r77 是无文件 rootkit,并且框架可能在部署之前已被修改,因此按照灾难恢复协议重新映像受影响的设备通常更安全。强烈建议将适当的日志发送到不可变的日志存储服务,这有助于蓝队搜索和识别可能受影响的系统。

保持对开发环境中使用的所有依赖项的可见性至关重要,以有效补救任何攻击。

团队需要保留一个强大而准确的库来记录安装的软件包,以便他们可以快速返回并删除已被破坏的库或恶意拼写错误的库,因为这是一个手动过程。

本文来自互联网用户投稿,该文观点仅代表作者本人,不代表本站立场。本站仅提供信息存储空间服务,不拥有所有权,不承担相关法律责任。如若转载,请注明出处:http://www.rhkb.cn/news/150693.html

如若内容造成侵权/违法违规/事实不符,请联系长河编程网进行投诉反馈email:809451989@qq.com,一经查实,立即删除!

相关文章

云服务器CVM_云主机_云计算服务器_弹性云服务器-腾讯云

腾讯云服务器CVM提供安全可靠的弹性计算服务,腾讯云明星级云服务器,弹性计算实时扩展或缩减计算资源,支持包年包月、按量计费和竞价实例计费模式,CVM提供多种CPU、内存、硬盘和带宽可以灵活调整的实例规格,提供9个9的数…

Python大数据之PySpark(七)SparkCore案例

文章目录 SparkCore案例PySpark实现SouGou统计分析 总结后记 SparkCore案例 PySpark实现SouGou统计分析 jieba分词: pip install jieba 从哪里下载pypi 三种分词模式 精确模式,试图将句子最精确地切开,适合文本分析;默认的方…

基于SpringBoot的植物健康系统

目录 前言 一、技术栈 二、系统功能介绍 系统首页 咨询专家 普通植物检查登记 珍贵植物检查登记 植物救治用料登记 植物救治材料管理 植物疾病案例管理 三、核心代码 1、登录模块 2、文件上传模块 3、代码封装 前言 随着信息技术在管理上越来越深入而广泛的应用&am…

Android之App跳转其他软件

文章目录 前言一、效果图二、实现步骤1.弹框xml(自己替换图标)2.弹框utils3.两个弹框动画4.封装方便调用5.调用6.长按事件方法7.跳转步骤8.复制utils 总结 前言 最近遇到一个需求,就是App内大面积需要长按复制并跳转指定App,没办法,只能埋头…

Hadoop设置hdfs全局指令

在终端进入用户个人环境变量配置文件 vim ~/.bashrc 然后添加如下内容 export PATH$PATH:/usr/local/hadoop/bin 添加到你的hadoop下载目录的bin目录为止就可以了 重新激活一下配置文件 source ~/.bashrc hdfs有专属于自己的文件存储目录,加上特殊的指令就可以箱终端一…

用《斗破苍穹》的视角打开C#委托2 委托链 / 泛型委托 / GetInvocationList

委托链 经过不懈地努力,我终于成为了斗师,并成功掌握了两种斗技——八极崩和焰分噬浪尺。于是,我琢磨着,能不能搞一套连招,直接把对方带走。 using System; using System.Collections.Generic; using System.Linq; u…

[开源]基于Vue的拖拽式数据报表设计器,为简化开发提高效率而生

一、开源项目简介 Cola-Designer 是一个 基于VUE,实现拖拽 配置方式生成数据大屏,为简化开发、提高效率而生。 二、开源协议 使用GPL-2.0开源协议 三、界面展示 概览 部分截图: 四、功能概述 特性 0 代码 实现完全拖拽 配置式生成…

SpringBoot集成MyBatis-Plus实现增删改查

背景 因为学习工具的时候经常需要用到jar包,需要增删查改接口,所以参考文章实现了基于mybatis-plus的增删查改接口。 参考文章:第二十二节:SpringBoot集成MyBatis-Plus实现增删改查 原文中的git地址不存在,本文内容是原文代码修…

阿里云轻量应用服务器流量价格表(计费/免费说明)

阿里云轻量应用服务器套餐有的限制月流量,有的不限制月流量,限制每月流量的套餐,如果自带的免费月流量包用完了,流量超额部分需要另外支付流量费,阿里云百科aliyunbaike.com分享阿里云轻量应用服务器月流量超额收费价格…

C#学习系列相关之多线程(二)----Thread类介绍

一、线程初始化 1.无参数 static void Main(string[] args) {//第一种写法Thread thread new Thread(test);thread.Start();//第二种写法 delegateThread thread1 new Thread(new ThreadStart(test));thread1.Start();//第三种写法 lambdaThread thread2 new Thread(() >…

LeakyReLU激活函数

nn.LeakyReLU 是PyTorch中的Leaky Rectified Linear Unit(ReLU)激活函数的实现。Leaky ReLU是一种修正线性单元,它在非负数部分保持线性,而在负数部分引入一个小的斜率(通常是一个小的正数),以防…

模拟滤波器的基础知识和设计

信号处理工作中滤波器的应用是非常广泛的,可以分成模拟滤波器和数字滤波器两种,数字滤波器主要包括两种,IIR和FIR,这两种滤波器后面统一说,今天先来说一说模拟滤波器(主要是我先用Python实现了Matlab书里面…

【UE5 Cesium】15-Cesium for Unreal 加载本地地形

目录 一、加载全球无高度地形 二、加载区域DEM 效果 一、加载全球无高度地形 1. 先去如下网址下载全球无高度地形:Using a global terrain layer without height detail - #9 by RidhwanAziz - Cesium for Unreal - Cesium Community 下载后如下: 解…

MATLAB算法实战应用案例精讲-【优化算法】霸王龙优化算法(TROA)(附MATLAB代码实现)

前言 霸王龙优化算法(Tyrannosaurus optimization,TROA)由Venkata Satya Durga Manohar Sahu等人于2023年提出,该算法模拟霸王龙的狩猎行为,具有搜索速度快等优势。 霸王龙属于暴龙超科的暴龙属,是该属的唯一一种。1905年,美国古生物学家、美国艺术与科学院院士亨利奥…

【计算机视觉|人脸建模】学习从图像中回归3D面部形状和表情而无需3D监督

本系列博文为深度学习/计算机视觉论文笔记,转载请注明出处 标题:Learning to Regress 3D Face Shape and Expression from an Image without 3D Supervision 链接:[1905.06817] Learning to Regress 3D Face Shape and Expression from an I…

2023年上半年软考网工选择题易错总结

1.固态硬盘的存储介质是( )。 A.光盘 B.闪存 C.软盘 D.磁盘 答案:B 解析: 光盘CD-ROM和软盘是塑料的,磁盘的介质是磁性金属圆盘(附着铝合金),固态硬盘采用的存储介质是flash(闪存…

文件上传笔记

一、上传的简单绕过: 1、若是上传的文件只在前端的代码中进行了过滤: (1)可以直接在开发者工具中删除相关代码: (2)也可以通过 burpsuite 绕过: 上传时,先提前修改 php 文件的后缀…

8.2 JUC - 5.CountdownLatch

目录 一、是什么?二、demo演示三、应用之同步等待多线程准备完毕四、 应用之同步等待多个远程调用结束五、CountDownLatch 原理 一、是什么? CountdownLatch 用来进行线程同步协作,等待所有线程完成倒计时。 其中构造参数用来初始化等待计数…

vue3+vite+uniapp 封装一个省市区组件

一、预览图 二、使用前的一些注意事项 只支持在 uniapp vue3 项目中使用支持微信小程序和h5 (app端没有测试过)ui库用的 uview-plus省市区数据用的是 vant-ui 提供的一个赖库 vant/area-data 三、组件代码 <template><u-popup :show"show" type"botto…

iOS——仿写计算器

四则运算&#xff1a;中缀表达式转后缀表达式后缀表达式求值 实现四则运算的算法思路是&#xff1a;首先输入的是中缀表达式的字符串&#xff0c;然后将其转为计算机可以理解的后缀表达式&#xff0c;然后将后缀表达式求值&#xff1a; 中缀转后缀表达式思路参考&#xff1a;《…