60個npm包竊取系統敏感信息

安全研究人員在npm軟件包注冊表中發現60個惡意組件，這些組件能夠收集主機名、IP地址、DNS服務器和用戶目錄信息，并將其發送至Discord平臺控制的終端節點。據Socket安全研究員Kirill Boychenko上周發布的報告顯示，這些由三個不同賬戶發布的軟件包均攜帶安裝時腳本，會在npm install命令執行時觸發。這些惡意庫已被累計下載超過3000次。

"該腳本針對Windows、macOS和Linux系統，包含基本的沙盒逃逸檢測功能，使得每臺被感染的工作站或持續集成節點都可能成為有價值的偵察數據來源，"這家軟件供應鏈安全公司指出。三個發布賬戶（每個賬戶在11天內發布了20個包）分別為：

• bbbb335656
• cdsfdfafd1232436437
• sdsds656565

（上述賬戶現已被npm平臺移除）

高級指紋收集與規避技術

Socket分析表明，惡意代碼專門設計用于對安裝該包的每臺機器進行指紋識別，同時會在檢測到亞馬遜、谷歌等虛擬化環境時中止執行。收集的主機詳情、系統DNS服務器、網卡(NIC)信息及內外網IP地址等數據，最終會傳輸至Discord的Webhook接口。

"通過收集內外網IP地址、DNS服務器、用戶名和項目路徑，攻擊者能夠繪制網絡拓撲圖，為后續攻擊行動識別高價值目標，"Boychenko解釋道。

偽裝成流行框架的破壞性組件

此次披露還涉及另外8個npm包，它們偽裝成React、Vue.js、Vite、Node.js等流行JavaScript框架及開源Quill編輯器的輔助庫，安裝后卻會部署破壞性負載。這些已被下載6200余次的惡意包目前仍可從倉庫獲取：

• vite-plugin-vue-extend
• quill-image-downloader
• js-hood
• js-bomb
• vue-plugin-bomb
• vite-plugin-bomb
• vite-plugin-bomb-extend
• vite-plugin-react-extend

"這些包偽裝成合法插件和工具，暗中攜帶旨在破壞數據、刪除關鍵文件并使系統崩潰的惡意負載，長期未被發現，"Socket研究員Kush Pandya表示。部分惡意包會在開發者調用時自動執行，遞歸刪除與Vue.js、React和Vite相關的文件，其他則專門破壞基礎JavaScript方法或篡改localStorage、sessionStorage和cookies等瀏覽器存儲機制。

其中js-bomb包不僅會刪除Vue.js框架文件，還會根據執行時的系統時間觸發關機操作。經溯源，這些活動與名為xuxingfeng的威脅行為者有關，該攻擊者同時發布了5個功能正常的合法包。"這種同時發布有害和有益軟件包的雙重策略，營造出合法表象，使惡意包更容易獲得信任并被安裝，"Pandya補充道。

釣魚攻擊與npm包的組合利用

近期還發現一種新型攻擊活動，將傳統電子郵件釣魚與偽裝成良性開源庫的惡意npm包中的JavaScript代碼相結合。Fortra研究員Israel Cerda指出："建立通信后，該包會加載并交付第二階段腳本，使用受害者電子郵件地址定制釣魚鏈接，將其引導至偽造的Office 365登錄頁面以竊取憑證。"

攻擊始于包含惡意.HTM文件的釣魚郵件，其中含有托管在jsDelivr上的加密JavaScript代碼，關聯一個名為citiycar8（現已被移除）的npm包。安裝后，包內嵌的JavaScript負載會啟動URL重定向鏈，最終將用戶導向偽造的登錄頁面。

"這次釣魚攻擊展現出高度復雜性，攻擊者將AES加密、通過CDN分發的npm包以及多重重定向等技術串聯，掩蓋其惡意意圖，"Cerda強調。

VS Code擴展竊取加密貨幣憑證

開源倉庫的濫用已成為大規模供應鏈攻擊的慣用手法。近期，微軟VS Code應用商店中也發現針對Windows平臺Solidity開發者的惡意擴展程序，專門竊取加密貨幣錢包憑證。Datadog安全研究團隊將此次活動歸因于代號MUT-9332的威脅行為者，涉及的擴展包括：

• solaibot
• among-eth
• blankebesxstnion

"這些擴展偽裝成合法工具，將惡意代碼隱藏在真實功能中，使用的命令控制域名與Solidity相關，通常不會被標記為惡意，"Datadog研究人員表示。所有三個擴展都采用復雜的感染鏈，包含多階段混淆惡意軟件，其中一個甚至將負載隱藏在Internet Archive托管的圖片文件中。

這些擴展宣稱能為Solidity開發者提供語法掃描和漏洞檢測功能，實際卻會竊取Windows系統上的加密貨幣錢包憑證。其最終目的是植入基于Chromium的惡意瀏覽器擴展，劫掠以太坊錢包并泄露至命令控制(C2)服務器。

該惡意軟件還能安裝獨立可執行程序，用于捕獲鍵盤輸入并掃描Discord、Chromium瀏覽器、加密貨幣錢包及Electron應用的數據目錄。MUT-9332還被認定是近期10個惡意VS Code擴展活動的幕后黑手，這些擴展偽裝成編程或人工智能工具安裝XMRig加密貨幣挖礦程序。

"此活動展現出MUT-9332在隱藏惡意意圖方面令人驚訝的創造力，"Datadog警告稱，"這些負載更新表明攻擊可能會持續，首批惡意VS Code擴展的檢測和下架可能促使MUT-9332在后續行動中改變策略。"