又见陈旧的Typosquatting进犯:这次侵略Npm盗取开发者身份凭据

访客5年前黑客工具691


有些进犯方式尽管听起来很天真,但有时分却也能够收效,比方typosquatting进犯——咱们前次看到这种进犯是在上一年6月份,这自身也是种很陈旧的进犯方式。
所谓的typosquatting,主要是经过用户的拼写错误诱导用户拜访或下载某个伪装成合法东西的歹意程序——其中心只在于东西名或文件名和原版很像,比方app1e.com,这种类型的垂钓便是typosquatting。最近 npm 就遭受了这种进犯。
有人在 npm 上传了不少歹意包
npm的CTO CJ Silverio在博客上宣布了一篇文章说到:7月19日-31日期间,名为hacktask的账户发起了typosquatting进犯,此账户发布了一系列package,称号和npm中比较盛行的package类似。
这其实便是typosquatting进犯的精华。而上面说到的npm其实是node.js的package管理东西。开发人员会封装一些常用功用的代码发布到Node.js上,这样其他的人员就能够复用类似功用的代码,而不用重新造轮子。
Silverio在博客中说,这些package的命名肯定是成心、歹意的,意图便是为了诈骗用户,并终究搜集到用户数据。好在hacktask发布的全部package都现已从npm移除。安全研讨人员暂时发现除了hacktask之外,npm中还没有其它同类typosquatting进犯的package。
这些歹意的package和下载数显现如下:
babelcli: 42
cross-env.js: 43
crossenv: 679
d3.js: 72
fabric-js: 46
ffmepg: 44
gruntcli: 67
http-proxy.js: 41
jquery.js: 136
mariadb: 92
mongose: 196
mssql-node: 46
mssql.js: 48
mysqljs: 77
node-fabric: 87
node-opencv: 94
node-opensl: 40
node-openssl: 29
node-sqlite: 61
node-tkinter: 39
nodecaffe: 40
nodefabric: 44
nodeffmpeg: 39
nodemailer-js: 40
nodemailer.js: 39
nodemssql: 44
noderequest: 40
nodesass: 66
nodesqlite: 45
opencv.js: 40
openssl.js: 43
proxy.js: 43
shadowsock: 40
*** b: 40
sqlite.js: 48
sqliter: 45
sqlserver: 50
tkinter: 45
关于此事,Node.js社区主张:
假如你现已下载并现已装置了上面说到的这些package的话,你应该立刻删去或替换掉你在命令行环境下存储的各种重要信息。

进犯并不高超
“曩昔,这样的事大多都是偶尔的,咱们也见过成心山寨现有库的姓名来与原有开发者竞赛的状况。但这次,package的命名完全是成心和歹意的,意图便是诈骗用户,然后从他们那里搜集有用的信息,“Silverio说。
坐落瑞典的开发人员Oscar Bolmsten在一个名为crossenv的package中发现了歹意代码,而人们真实想找的却是cross-env—— 一款当下很盛行的用来设置环境变量的脚本。
“经过运用环境变量的 *** 将身份凭据递交给软件,这样的做法很遍及。所以这是一件很好的工作,”Silverio在承受 *** 采访时说道。
环境变量还用于存储用户名,暗码,token,和衔接一些应用程序,云服务,API拜访权限的暗码。
在进犯者发起的typosquatting进犯中,歹意代码会测验仿制受害者机器上设置的全部环境变量,并将其传输到进犯者操控的服务器npm.hacktask.net上。
crossenv运用的 *** ON配置文件运转了一个名为package-setup.js的脚本,它将现有的环境变量转换为字符串,然后经过POST恳求发送数据。

依据Silverio所说,由hacktask提交的大约40个npm包已从npm删去,现在底子现已整理洁净,咱们扫描了每个npm package,来寻觅歹意运用的装置代码,可是没有发现其他类似hacktask的状况。
Silverio对这次进犯的作用表明了置疑,她说:“经过拼写错误来将歹意软件倒入注册表的手法并不高超,因为人们更倾向于运用搜索或许仿制粘贴已发布的代码。
7月中旬以来,扫除因为猎奇的联系前往下载,hacktask上传的绝大部分package,每个下载量大约是40次,歹意的crossenv软件包的下载次数最多,为700次,但这里边大多数都被认为是触发了npm镜像服务器的主动下载。
Silverio估量在这段时期只有约50人下载了歹意的crossenv包,她说她还没有发现有开发者因为这次事情导致账户被黑的上报状况。
尽管hacktask的账户现已被封了,但其背面主谋却还不知道是谁。

这种进犯有 *** 防备吗?
当问到npm是否已采纳相应的办法来避免其他用户名下的类似进犯时,Silverio表明这种进犯依然或许无法当即检测到。
她说:“尽管咱们在发布的过程中无法随时随刻的掌控全部,但咱们建立了一个运转杰出的体系”,Silverio称誉了npm社区的警惕性。
尽管如此,Silverio仍表明,npm正在研讨怎样辨认有类似姓名的npm package,用来防治往后的typosquatting进犯。npm也正在与安全公司Smyte一同检测发布过的垃圾信息。很明显,垃圾信息的发布者期望搜索引擎检索到README文件,来进步自己的网站排名。
2019年的kiwicon,开发者Jeff Andrews在关于Node.js的安全性的演讲上问了自己这样一个问题:“我运用Node.js或npm,但我怎样确保这么做是安全的呢?”他答道:“底子不能确保。”
 

相关文章

HTTPie:WEB开发调试东西

还在用wget和curl?试试HTTPie吧  :) HTTPie (读作aych-tee-tee-pie)是指令行方法的HTTP客户端。可经过简略的http指令,可合作语法发送恣意HTTP恳求数据,...

网络黑客接单网:世界十大黑客论坛

网络黑客接单网:世界十大黑客论坛

    很多年来,网络黑客的影响力也发生了转变,稍早她们仅仅犯罪嫌疑人,今天有网络黑客为社会事业(网络黑客个人行为现实主义者)工作中,表述被压...

继续聊聊梦里的那点事儿(下)-黑客接单平台

前情概要:梦里那点事系列文章(上) 0×05 弱口令是个好东西 忽然有这么多方针,一时间不知从哪下手,这个时分直觉告诉我,机关单位站点也许是突破口。 经历告诉我,此类网站的管理员往往缺少安全防护认识。...

子域名收集思路与技巧整理

前语 本文合适Web安全爱好者,其中会说到8种思路,7个东西和还有1个小程序,看本文前需求了解相关的Web基础知识、子域名相关概念和Python 程序的基础知识。 感谢我的老友龙哥的技巧大放送以及Or...

在Microsoft Edge中完成DOM树

DOM是Web渠道编程模型的根底,其规划和功用直接影响着浏览器管道(Pipeline)的模型,可是,DOM的前史演化却远不是一个简略的工作。 在曩昔三年中,微软的安全专家们早现已开端在Microsof...

分析NETWIRE网络垂钓举动中对Process Hollowing的运用

无文件进犯是当时较为常见的一种进犯手法,歹意软件经过其payload来躲避检测,而无需在磁盘上编写可履行文件。无文件履行最常见的技能之一是代码注入——进犯者不需要直接履行歹意软件,而是将歹意软件代码注...