En

Blog/ an toàn thông tri |NPM phía chính phủ kho hàng tao ngộ coa chờ ác ý bao đầu độc công kích

An toàn thông tri |NPM phía chính phủ kho hàng tao ngộ coa chờ ác ý bao đầu độc công kích

Tác giả:Bảy đêm, Silence, Pav1, dư nhớCông bố thời gian:2021-11-05Đọc số lần:93854Bình luận:4

Chia sẻ

Tác giả:
Đằng Tấn hành tây xâm lấn kiểm tra đo lường hệ thống bảy đêm
TSRC Silence
Đằng Tấn Zeus thuẫn lưu lượng an toàn phân tích đoàn đội Pav1, dư nhớ

Tường thuật tóm lược

Hôm nay, Đằng Tấn hành tây xâm lấn kiểm tra đo lường hệ thống phát hiện khai nguyên phần mềm sa rương trưởng máy xuất hiện dị thường hành vi, theo vào phát hiện npm phía chính phủ kho hàng coa, rc bị đầu độc công kích, đã ở Đằng Tấn phần mềm nguyên khẩn cấp chặn lại tương quan phiên bản. Trước mắt npm phía chính phủ kho hàng đã đem tương ứng phiên bản ác ý bao xóa bỏ, nhưng bởi vì quốc nội khai nguyên cảnh trong gương trạm đều đồng bộ npm phía chính phủ kho hàng thả tồn tại hoãn tồn, cho nên ác ý bao còn khả năng thông qua các khai nguyên cảnh trong gương trạm ảnh hưởng quảng đại người dùng.

Đằng Tấn an toàn khẩn cấp hưởng ứng trung tâm ( TSRC ) vâng chịu cộng Kiến An toàn sinh thái nguyên tắc, tại đây kiến nghị đại gia tự xét xử lý, bảo đảm an toàn nguy hiểm được đến tiêu trừ.

Sự kiện miêu tả

11 nguyệt 4 ngày, npm kho hàng trung phi thường lưu hành coa, rc phần mềm bao bị công kích giả bắt cóc, đổi mới mấy cái phiên bản, cũng ở trong đó rót vào ác ý số hiệu, nên ác ý số hiệu chỉ nhằm vào Windows server, thả phần mềm bao công kích thủ pháp tương đồng, phỏng đoán thuộc về cùng tập thể việc làm. coa cùng rc phần mềm baoChu download lượng tiếp cận ngàn vạn cấp bậc,CũngBị mấy trăm vạn khai nguyên hạng mục sở ỷ lại,Trong đó liền bao gồm trứ danh đằng trước dàn giáo react, bởi vậy ảnh hưởng phạm vi phi thường quảng.

Theo Zeus thuẫn lưu lượng đoàn đội số liệu, ác ý vực danh 11 nguyệt 3 ngày đăng ký, 4 ngày rạng sáng bắt đầu có thỉnh cầu, bị cho hấp thụ ánh sáng sau tin tưởng thực mau liền sẽ bị ngăn chặn.

Giản yếu phân tích

Ở trang bị coa cùng rc phần mềm bao khi, sẽ chấp hành start /B node compile.js & node compile.js mệnh lệnh

Trong đó compile.js là một cái lẫn lộn kịch bản gốc, nên kịch bản gốc sẽ chấp hành bao trước mặt mục lục hạ compile.bat kịch bản gốc.

compile.bat thông qua lượng biến đổi mở rộng phương thức đối số hiệu nội dung tiến hành rồi lẫn lộn, khó có thể đọc. Hoàn nguyên lúc sau bat kịch bản gốc như sau, sẽ download ác ý DLL văn kiện.

Nên DLL thêm tái sau sẽ căn cứ bất đồng tham số chấp hành đánh cắp chrome/Firefox/Opera chờ trình duyệt mật mã, bàn phím ký lục chờ công năng, trước mắt đã bị các đại sát mềm tra sát.

Mặt khác, npm thượng bento-modern, nlkfvbdfl bao cũng là đồng dạng thủ pháp, nhưng là số hiệu rất đơn giản, phỏng đoán là công kích giả ở thí nghiệm số hiệu lẫn lộn công năng. ua-parser-js là 10 nguyệt 23 mặt trời đã cao truyền, 24 ngày bị hành tây phát hiện.

Chịu ảnh hưởng phiên bản

coa: 2.0.3, 2.0.4, 2.1.1, 2.1.3, 3.0.1 and 3.1.3

rc: 1.2.9, 1.3.9, 2.3.9

Công kích số hiệu chỉ có thể ở Windows ngôi cao hạ vận hành

IOC

Vực danh:

pastorcryptograph.at

MD5:

a92e05e98957d6623d4b37e77f097631

Mặt khác

1, phía chính phủ đã xóa bỏ ác ý bao, nhưng là bởi vì cảnh trong gương trạm có hoãn tồn cơ chế, phía chính phủ xóa bỏ bao cảnh trong gương trạm cũng không có kịp thời đồng bộ xóa bỏ, cho nên vẫn cứ hữu dụng hộ đã chịu ảnh hưởng. Nơi này hoãn tồn đồng bộ xóa bỏ cũng là các cảnh trong gương trạm yêu cầu tăng mạnh địa phương.

2, Đằng Tấn vân trưởng máy an toàn sản phẩm “Vân kính”Tổng thể Đằng Tấn tự nghiên HIDS hành tây an toàn năng lực, có thể trước tiên ứng đối các loại an toàn vấn đề, hoan nghênh đại gia thể nghiệm.

3, lần này sự kiện ở chúng ta bên trong sớm nhất từ nghiệp vụ tuyến thí nghiệm khai phá đồng sự phát hiện, này đến ích với chúng ta ở công ty nội khai triển “Tìm kiếm ngỗng xưởng mạnh nhất hacker”Hệ liệt an toàn kịch bản sát thi đấu, tăng lên phi an toàn chuyên nghiệp nhân viên an toàn ý thức cùng năng lực, chân chính thực tiễn rơi xuống đất DevSecOps “An toàn dựa đại gia” lý niệm. Kịch thấu một chút, cùng loại thi đấu sắp thông qua TSRC đối ngoại mở ra, kính thỉnh chờ mong

Tương quan tham khảo tư liệu

https:// bleepingcomputer /news/security/popular-coa-npm-library-hijacked-to-steal-user-passwords

https://github /dominictarr/rc/issues/131

https://github /veged/coa/issues/99#issue-1044749810

Kéo dài đọc

1. Thiển tích phần mềm cung ứng liên công kích chi bao đoạt chú vốn nhỏ câu cá

2. Ngọn nguồn chi chiến, không ngừng thăng cấp công phòng đối kháng kỹ thuật —— phần mềm cung ứng liên công kích phòng ngự thăm dò

3. FIN8 APT tổ chức tân động tác: Cùng nhau “Tỉ mỉ bố trí” định hướng trộm mật hoạt động

4. NPM tao ngộ cung ứng liên đầu độc công kích đánh cắp K8S tụ quần bằng chứng

5. PyPI phía chính phủ kho hàng tao ngộ covd ác ý bao đầu độc

6. PyPI phía chính phủ kho hàng tao ngộ request ác ý bao đầu độc

7. Đằng Tấn hành tây phản xâm lấn hệ thống kiểm tra đo lường đến nhiều lệ ác ý Python kho cung ứng liên đầu độc

Bình luận nhắn lại

Đệ trình bình luận Ngài đưa vào lỗ hổng tên có lầm, thỉnh một lần nữa đưa vào

Xác định Hủy bỏ

Quyên tiền thành công, cảm tạ ngài vô tư phụng hiến

Đăng nhập nhắc nhở

Hệ thống kiểm tra đo lường đến ngài còn chưa đăng nhập hoặc đăng nhập thái đã mất hiệu, thỉnh giành trước lục

TSRC bài trắc nghiệm khảo sát

Vì càng tốt cùng đại gia hỗ động, TSRC thành mời ngài điền hỏi cuốn, chúng ta đem ở đệ trình liên hệ phương thức tham dự giả trung tùy cơ rút ra bộ phận người may mắn, đưa tặng tinh mỹ quà tặng!
Lập tức điền Lần sau lại điền
Như ngài đã ở mặt khác con đường điền hỏi đến cuốn, thỉnh câu tuyển: Xem nhẹ, không hề bắn ra
Như có nghi vấn, thỉnh điểm đánh cố vấn:QQ

Về Đằng Tấn | About Tencent | Phục vụ điều khoản | Gia nhập chúng ta | Báo cáo lỗ hổng | Hợp tác đồng bọn | Đằng Tấn khách phục

Copyright © 1998 - 2024 Tencent. All Rights Reserved Công ty Đằng Tấn bản quyền sở hữu

Chuyên dụng hộp thư| Tân lãng Weibo| WeChat công chúng hào
Quét qua chú ý TSRC công chúng hào