黑客向 NPM 发送少量伪制包,激发 DoS 打击
黑客向 NPM 发送大量伪造包,引发 DoS 攻击
The Hacker Nes 网站披露,攻击者在 npm 开源软件包存储库中“投放”大量伪造的软件包,这些软件包导致了短暂拒绝服务(DoS)攻击。
Checkmarx 的研究人员 Jossef Harush Kadouri 在上周发布的一份报告中表示,攻击者利用开源生态系统在搜索引擎上的良好声誉,创建恶意网站并发布带有恶意网站链接的空包,此举可能导致拒绝服务(DoS)攻击,使 NPM 变得极不稳定,甚至偶尔会出现服务不可用的“错误”。
在最近观察到的一波攻击活动中,软件包版本数量达到了 142 万个,显然比 npm 上发布的约 80 万个软件包数量大幅上升。
Harush Kadouri 解释称攻击者“借用”开源存储库在搜索引擎中排名创建流氓网站,并在 README.md 文件中上传空的 npm 模块和指向这些网站的链接。由于开源生态系统在搜索引擎上享有盛誉,任何新的开源软件包及其描述都会继承这一良好声誉,并在搜索引擎中得到很好的索引,毫无戒心的用户更容易看到它们。
值得注意的是,鉴于整个攻击过程都是自动化的,众多虚假软件包发送产生的负载导致 NPM 在 2023 年 3 月底时间歇性地出现了稳定性问题。
Checkmarx 指出,此次攻击活动背后可能有多个威胁攻击者,其最终目的也略有差别,大致可分作为以下三种
第一是利用 RedLine Stealer、Glupteba、SmokeLoader 和加密货币矿工等恶意软件感染受害者的系统;第二是使用恶意链接会将用户索引至类似速卖通这样的具有推荐 ID 的合法电子商务网站,一旦受害者在这些平台上购买商品,攻击者就会获得分成利润;
第三类则是邀请俄罗斯用户加入专门从事加密货币的 Telegram 频道。
,Harush Kadouri 强调攻击者会不断地利用新技术来发动网络攻击活动,在同毒害软件供应链生态系统的攻击者进行斗争具有很强的挑战性, 为了防止此类自动化攻击活动,建议 npm 在创建用户帐户时采用反机器人技术。
转自 Freebuf,原文链接http://.freebuf./nes/363174.html
封面来源于网络,如有侵权请联系删除