又见陈旧的Typosquatting进犯:这次侵略Npm盗取开发者身份凭据

访客5年前黑客工具729


有些进犯方式尽管听起来很天真,但有时分却也能够收效,比方typosquatting进犯——咱们前次看到这种进犯是在上一年6月份,这自身也是种很陈旧的进犯方式。
所谓的typosquatting,主要是经过用户的拼写错误诱导用户拜访或下载某个伪装成合法东西的歹意程序——其中心只在于东西名或文件名和原版很像,比方app1e.com,这种类型的垂钓便是typosquatting。最近 npm 就遭受了这种进犯。
有人在 npm 上传了不少歹意包
npm的CTO CJ Silverio在博客上宣布了一篇文章说到:7月19日-31日期间,名为hacktask的账户发起了typosquatting进犯,此账户发布了一系列package,称号和npm中比较盛行的package类似。
这其实便是typosquatting进犯的精华。而上面说到的npm其实是node.js的package管理东西。开发人员会封装一些常用功用的代码发布到Node.js上,这样其他的人员就能够复用类似功用的代码,而不用重新造轮子。
Silverio在博客中说,这些package的命名肯定是成心、歹意的,意图便是为了诈骗用户,并终究搜集到用户数据。好在hacktask发布的全部package都现已从npm移除。安全研讨人员暂时发现除了hacktask之外,npm中还没有其它同类typosquatting进犯的package。
这些歹意的package和下载数显现如下:
babelcli: 42
cross-env.js: 43
crossenv: 679
d3.js: 72
fabric-js: 46
ffmepg: 44
gruntcli: 67
http-proxy.js: 41
jquery.js: 136
mariadb: 92
mongose: 196
mssql-node: 46
mssql.js: 48
mysqljs: 77
node-fabric: 87
node-opencv: 94
node-opensl: 40
node-openssl: 29
node-sqlite: 61
node-tkinter: 39
nodecaffe: 40
nodefabric: 44
nodeffmpeg: 39
nodemailer-js: 40
nodemailer.js: 39
nodemssql: 44
noderequest: 40
nodesass: 66
nodesqlite: 45
opencv.js: 40
openssl.js: 43
proxy.js: 43
shadowsock: 40
*** b: 40
sqlite.js: 48
sqliter: 45
sqlserver: 50
tkinter: 45
关于此事,Node.js社区主张:
假如你现已下载并现已装置了上面说到的这些package的话,你应该立刻删去或替换掉你在命令行环境下存储的各种重要信息。

进犯并不高超
“曩昔,这样的事大多都是偶尔的,咱们也见过成心山寨现有库的姓名来与原有开发者竞赛的状况。但这次,package的命名完全是成心和歹意的,意图便是诈骗用户,然后从他们那里搜集有用的信息,“Silverio说。
坐落瑞典的开发人员Oscar Bolmsten在一个名为crossenv的package中发现了歹意代码,而人们真实想找的却是cross-env—— 一款当下很盛行的用来设置环境变量的脚本。
“经过运用环境变量的 *** 将身份凭据递交给软件,这样的做法很遍及。所以这是一件很好的工作,”Silverio在承受 *** 采访时说道。
环境变量还用于存储用户名,暗码,token,和衔接一些应用程序,云服务,API拜访权限的暗码。
在进犯者发起的typosquatting进犯中,歹意代码会测验仿制受害者机器上设置的全部环境变量,并将其传输到进犯者操控的服务器npm.hacktask.net上。
crossenv运用的 *** ON配置文件运转了一个名为package-setup.js的脚本,它将现有的环境变量转换为字符串,然后经过POST恳求发送数据。

依据Silverio所说,由hacktask提交的大约40个npm包已从npm删去,现在底子现已整理洁净,咱们扫描了每个npm package,来寻觅歹意运用的装置代码,可是没有发现其他类似hacktask的状况。
Silverio对这次进犯的作用表明了置疑,她说:“经过拼写错误来将歹意软件倒入注册表的手法并不高超,因为人们更倾向于运用搜索或许仿制粘贴已发布的代码。
7月中旬以来,扫除因为猎奇的联系前往下载,hacktask上传的绝大部分package,每个下载量大约是40次,歹意的crossenv软件包的下载次数最多,为700次,但这里边大多数都被认为是触发了npm镜像服务器的主动下载。
Silverio估量在这段时期只有约50人下载了歹意的crossenv包,她说她还没有发现有开发者因为这次事情导致账户被黑的上报状况。
尽管hacktask的账户现已被封了,但其背面主谋却还不知道是谁。

这种进犯有 *** 防备吗?
当问到npm是否已采纳相应的办法来避免其他用户名下的类似进犯时,Silverio表明这种进犯依然或许无法当即检测到。
她说:“尽管咱们在发布的过程中无法随时随刻的掌控全部,但咱们建立了一个运转杰出的体系”,Silverio称誉了npm社区的警惕性。
尽管如此,Silverio仍表明,npm正在研讨怎样辨认有类似姓名的npm package,用来防治往后的typosquatting进犯。npm也正在与安全公司Smyte一同检测发布过的垃圾信息。很明显,垃圾信息的发布者期望搜索引擎检索到README文件,来进步自己的网站排名。
2019年的kiwicon,开发者Jeff Andrews在关于Node.js的安全性的演讲上问了自己这样一个问题:“我运用Node.js或npm,但我怎样确保这么做是安全的呢?”他答道:“底子不能确保。”
 

相关文章

用于浸透测验WordPress的Ruby结构:WordPress Exploit Framework

这个Ruby结构包括一些能够浸透测验WordPress网站和体系的模块,用户也能够自己开发模块扩展其功用。 运转它需求什么条件? 保证体系上装置了Ruby 2.2.x,翻开一个指令行窗口,切换当时目录...

APT34利用LinkedIn钓鱼,其武器库中再添三类恶意软件-黑客接单平台

APT34被认为是一个为伊朗的国家利益服务的黑客安排,首要侧重于网络间谍活动,至少从2014年开端就一向处于活泼状况。这个安排现已广泛地针对各个职业,包含金融、政府、动力、化工和电信,而且首要会集在中...

ASIS CTF - 三个魔法Web关WriteUp

榜首眼看这个应战,通常是过滤一些字符或许添加一些约束来阻挠指令履行,我经过输入&id到addr域,成功回来履行成果,能够确认这是一道指令履行的应战题。 下一步咱们来找出过滤和约束。经过测验,咱...

保证你网页的安全

 从技能到安全, 这是一个趋势. 曾经寻求的是比较炫酷的技能, 等完成往后发现, 自己还能做什么. 炫技完了之后,差不多就该到悟道的时分了. 用户安全, 便是一个很大的禅. 苹果回绝 FBI, goo...

xHunt:针对科威特航运组织的攻击行动-黑客接单平台

2019年5月至6月,unit42安全团队在一起针对科威特航运业的进犯事情中,检测到了一个新后门东西——Hisoka,它的作用是下载几个的定制东西进行后缝隙运用,一切东西好像都由同一个开发人员创立,最...

Django开发与攻防测验(入门篇)

最近在培训包含在一些竞赛中,python结构方面的攻防需求呈现的越来越频频。 尽管python结构相关于Java、php等的广泛度还略低一点(当然现在的盛行程度现已越来越高了),可是咱们并不能够因此而...