信息來源：安全內(nèi)參

軟件供應(yīng)鏈攻擊的頻率和規(guī)模正在不斷升級。近日，一個(gè)被代號“RED-LILI”的黑客發(fā)動了針對NPM存儲庫的大規(guī)模供應(yīng)鏈攻擊，一口氣發(fā)布近800個(gè)惡意NPM包。

“通常，攻擊者使用一個(gè)匿名的一次性NPM帳戶發(fā)起攻擊，”以色列安全公司Checkmarx透露：“但這一次，攻擊者似乎完全自動化了NPM帳戶創(chuàng)建過程，為每個(gè)惡意程序包都開設(shè)了專用帳戶，這使得這批新的惡意包更難被發(fā)現(xiàn)和完全清理?！?

此前，JFrog和Sonatype最近的報(bào)告都詳細(xì)介紹了數(shù)百個(gè)惡意NPM包，這些包利用依賴混淆和域名仿冒等技術(shù)針對Azure、Uber和Airbnb的開發(fā)人員。

根據(jù)對RED-LILI作案手法的詳細(xì)分析，其異?；顒拥淖钤缱C據(jù)出現(xiàn)在2022年2月23日，該惡意程序包集群在一周內(nèi)“爆發(fā)式”發(fā)布。

據(jù)Checkmarx透露，黑客使用自定義Python代碼和Selenium等Web測試工具的組合來模擬在注冊表中復(fù)制用戶創(chuàng)建過程所需的用戶操作，從而將惡意庫自動化批量上傳到NPM。

為了繞過NPM設(shè)置的一次性密碼(OTP)驗(yàn)證，攻擊者還利用一種名為Interactsh的開源工具將NPM服務(wù)器發(fā)送的OTP提取到注冊期間提供的電子郵件地址，從而成功創(chuàng)建帳戶。

有了這個(gè)全新的NPM用戶帳戶后，攻擊者會在生成訪問令牌之后，以自動方式創(chuàng)建和發(fā)布一個(gè)惡意程序包，且每個(gè)帳戶只發(fā)布一個(gè)，這種方式可以有效繞過電子郵件OTP驗(yàn)證。

研究人員說：“這是軟件供應(yīng)鏈攻擊的一個(gè)里程碑，標(biāo)志著供應(yīng)鏈攻擊者正在不斷提高技能并讓防御變得更加艱難?！薄巴ㄟ^跨多個(gè)用戶名分發(fā)惡意軟件包，攻擊者使防御者更難完全關(guān)聯(lián)和防御，增加感染的機(jī)會?！?

參考鏈接：

https://checkmarx.com/blog/a-beautiful-factory-for-malicious-packages/