JFrog 研究人员 Andrey Polkovnychenko 和 Shachar Menashe 在一份报告中指出,他们观察到不少于 218 观察到不少于 218 恶意 NPM 包。检查后发现都是针对 Azure 开发人员新的大规模供应链攻击,攻击者使用自动脚本创建账户并上传覆盖整个 scope 恶意软件包旨在窃取个人身份信息。
除了针对 @azure scope 外,还有 @azure-rest、@azure-tests、@azure-tools 和 @cadl-lang 也是目标。这些恶意包发布大约两天后,JFrog 向 NPM 维修人员披露,迅速删除;但在此之前,每个软件包平均下载了50次左右。
根据介绍,攻击者使用的软件供应链攻击方法是 typosquatting,他们只创建了一个新的(恶意的)包,它的名字和现有的 @azure scope package 是一样的,但是已经删除了 scope name。举例如下:
这是合法的 azure npm 包
以及它的恶意对应物
攻击者在安装软件包时可能会错误地省略一些开发人员@azure 前缀的事实。例如,操作不当 npm install core-tracing,而不是正确的命令 - npm install @azure/core-tracing。”
而除了 typosquatting除了 感染,所有恶意软件包都有很高的版本号(如 99.10.9)。研究人员指出,这表明这是一种依赖性混淆攻击。一个可能的猜测是,除了 typosquatting 的普通 npm除了用户的目标,攻击者还试图针对开发人员和从 Microsoft/Azure 内部网络运行的机器。
JFrog 建议使用目标包 Azure 开发人员可以检查他们的名字是否是 @azure* scope 开始,以确保合法性。并表示,由于供应链攻击的迅速崛起(尤其是通过 npm 和 PyPI 软件包库)似乎应该增加更多的审查和缓解措施。
例如,在创建 npm 用户添加一个 CAPTCHA 机制不允许攻击者轻松创建任何数量的用户上传恶意包,因此更容易识别攻击。此外,作为安全软件管理过程的一部分,基于 SAST 或 DAST 自动软件包过滤技术(或最好是两者)的需求也是不可避免的。
本文转自OSCHINA
本文标题:研究发现超 200 针对 Azure恶意 开发人员NPM 包
本文地址:https://www.oschina.net/news/189049/large-scale-npm-attack-targets-azure-developers