CuteBoi:超过 1200 个 NPM 包加入挖矿逻辑

事件简述
近日 , checkmarx研究人员公开了一起涉及众多包的NPM软件供应链攻击事件 。
事件最早可以追溯到2021年12月 , 攻击者投放了1200多个包含混淆加密的恶意NPM , 这些包含有相同的挖矿脚本eazyminer , 该脚本的目的是利用如Database和Web等所在服务器的机器闲置资源进行挖矿 。
攻击事件分析
攻击手法
CuteBoi主要依赖mail.tm提供的一次性电子邮件服务和免费的邮件获取API , 攻击者可以通过该API在发布包时绕过双因子验证(2FA) , 创建大量用户账号 。
CuteBoi:超过 1200 个 NPM 包加入挖矿逻辑
文章图片
(图片源自checkmarx.com)
所有已发布的恶意包都使用了eazyminer的源代码 , 该包利用Web服务器上未被使用的资源来挖取Monero币 。
CuteBoi:超过 1200 个 NPM 包加入挖矿逻辑
文章图片
(恶意包中的eazyminer调用代码片段)
包中分别包含Linux和Windows中的可执行文件ronbhdcvpqkxwget和ronbhdcvpqkxwget.exe 。
CuteBoi:超过 1200 个 NPM 包加入挖矿逻辑
文章图片
(目录中的挖矿程序)
在判断操作系统环境信息后进行调用 。
CuteBoi:超过 1200 个 NPM 包加入挖矿逻辑
文章图片
(判断环境信息)
攻击影响
如果开发者安装了这些包 , 则会在被调用时挖掘Monero币 。 由于eazyminer的作者在源代码中设置了cpu优先级(eazyminer)为0 , 因此挖矿进程不会抢占其他进程的已有资源 , 不容易被察觉 。 开发者在检查时认为服务器处于正常运行的状态 , 但挖矿包很有可能在后台偷偷执行 。
CuteBoi:超过 1200 个 NPM 包加入挖矿逻辑
文章图片
(eazyminer原作者的声明)
本周OSCS社区监测到至少3起以上的投毒挖矿事件 , 建议开发者及时关注 。
参考链接https://checkmarx.com/blog/cuteboi-detected-preparing-a-large-scale-crypto-mining-campaign-on-npm-users/checkmarx研究人员公开了恶意软件包的列表 , 恶意包存放地址:https://cuteboi.info/
了解更多
OSCS(开源软件供应链安全社区)会第一时间发布开源项目最新的安全风险动态 , 包括开源包安全漏洞、投毒情报等信息 , 社区用户可通过企微、钉钉、飞书等方式进行订阅 。
具体订阅方式详见:https://www.oscs1024.com/docs/vuln-warning/intro/
CuteBoi:超过 1200 个 NPM 包加入挖矿逻辑
文章图片
CuteBoi:超过 1200 个 NPM 包加入挖矿逻辑
文章图片
返回搜狐 , 查看更多
CuteBoi:超过 1200 个 NPM 包加入挖矿逻辑】责任编辑: