投毒挖洞：针对公司开源项目的同名包攻击 OSCS(开源软件供应链安全社区

OSCS(开源软件供应链安全社区)推出免费的漏洞、投毒情报订阅服务，社区用户可通过机器人订阅情报信息，具体订阅方式详见：https://www.oscs1024.com/? src=https://pcff.toutiao.jxnews.com.cn/p/20220708/wx
【投毒挖洞：针对公司开源项目的同名包攻击】事件简述
2022年7月7日， OSCS监测发现开发者hayahunterr在NPM仓库中上传了ably-common、api-key-regex、ably-asset-tracking-common、repository-audit等恶意组件包。
这些组件包与Ably公司的开源项目同名，推测其抢注包名是期望证明此类风险从而赚取Ably公司的漏洞赏金。
事件分析
7月7日， OSCS监测发现NPM仓库中出现了由开发者hayahunterr上传的多个恶意组件包，并在描述中注明了bugbountyhunt等字样。

文章图片
通过对包名分析可以发现， Ably公司在NPM仓库中发布了名为ably的组件包。

文章图片
Ably公司还在GitHub中有其他Node.js开源项目，其中包括ably-common、api-key-regex等，但并没有在NPM中发布。

文章图片
因此， hayahunterr可能在观察到该现象后决定通过在NPM仓库上传ably-common ， ably-asset-tracking-common等与Ably公司开源项目同名的恶意组件包，进行抢注，验证这些项目是否在Ably公司内部已经发布，并且是否存在研发人员通过公开仓库下载使用内部组件。
其验证的方式是添加了如下代码，当这些包被引用时会将用户名，环境信息等敏感发送到远程服务器。

文章图片
总结
通过近期监测可以发现频繁出现类似抢注内部包名的投毒事件，所幸大部分的行为并没有恶意，也没有造成太大的影响，但此类水坑攻击的成本低、风险高，企业需要注意防范。
了解更多
1.免费使用OSCS的情报订阅服务
OSCS（开源软件供应链安全社区）会第一时间发布开源项目最新的安全风险动态，包括开源组件安全漏洞、投毒情报等信息，社区用户可通过企微、钉钉、飞书等方式进行订阅。
具体订阅方式详见：https://www.oscs1024.com/docs/vuln-warning/intro/

文章图片

文章图片
返回搜狐，查看更多
责任编辑：