CuteBoi:超过 1200 个 NPM 包加入挖矿逻辑


事件简述

近日,checkmarx 研究人员公开了一起涉及众多包的 NPM 软件供应链攻击事件。

事件最早可以追溯到 2021年12月,攻击者投放了1200多个包含混淆加密的恶意 NPM,这些包含有相同的挖矿脚本 eazyminer,该脚本的目的是利用如 Database 和 Web 等所在服务器的机器闲置资源进行挖矿。

攻击事件分析

攻击手法

CuteBoi 主要依赖 mail.tm 提供的一次性电子邮件服务和免费的邮件获取 API ,攻击者可以通过该 API 在发布包时绕过双因子验证(2FA),创建大量用户账号。

(图片源自checkmarx.com)

所有已发布的恶意包都使用了 eazyminer 的源代码,该包利用 Web 服务器上未被使用的资源来挖取 Monero 币。

(恶意包中的 eazyminer 调用代码片段)

包中分别包含Linux和Windows中的可执行文件ronbhdcvpqkxwget和ronbhdcvpqkxwget.exe。

(目录中的挖矿程序)

在判断操作系统环境信息后进行调用。

(判断环境信息)

攻击影响

如果开发者安装了这些包,则会在被调用时挖掘 Monero币。由于 eazyminer 的作者在源代码中设置了cpu 优先级(eazyminer)为0,因此挖矿进程不会抢占其他进程的已有资源,不容易被察觉。开发者在检查时认为服务器处于正常运行的状态,但挖矿包很有可能在后台偷偷执行。

(eazyminer原作者的声明)

本周OSCS社区监测到至少3起以上的投毒挖矿事件,建议开发者及时关注。

参考链接

  • https://checkmarx.com/blog/cuteboi-detected-preparing-a-large-scale-crypto-mining-campaign-on-npm-users/

  • checkmarx研究人员公开了恶意软件包的列表,恶意包存放地址:

    https://cuteboi.info/

了解更多

OSCS (开源软件供应链安全社区)会第一时间发布开源项目最新的安全风险动态,包括开源包安全漏洞、投毒情报等信息,社区用户可通过企微、钉钉、飞书等方式进行订阅。

具体订阅方式详见:

https://www.oscs1024.com/docs/vuln-warning/intro/


相關推薦

2022-07-12

;项目都被指定为关键项目。在该公告发布时,PyPI 上共有超过 350K 的项目,因此有超过 3500 个项目被指定为"关键";但这一数据每天都会进行刷新。此外,Python 软件基金会 (PSF) 的赞助商 Google 开源安全团队,将为关键项目的维护

2024-08-14

没有任何可取之处。 在过去的六个月中,npm 上共发布了超过 890,000 个新软件包(不是现有软件包的更新),其中有 613,000 到 667,000 个(约占 70%)是与 Tea 协议相关的垃圾包。换句话说,在过去六个月内发布到 npm 的所有新软件

2024-09-30

领先的企业级研发效能和开源代码托管平台,拥有开发者超过1200万名,托管项目超过2800万个。GVP(即Gitee最有价值开源项目)由Gitee的GVP评审小组定期评审并公布,评估维度包括开发活跃度、用户积极反馈、文档质量、项目创意

2022-03-31

he 在一份报告中,截至 3 月 21 日他们已观察到不少于 218 个恶意 NPM 包。检查后发现这都是针对 Azure 开发人员的新的大规模供应链攻击,攻击者采用了一个自动脚本来创建账户并上传覆盖整个 scope 的恶意软件包,旨在窃取个人

2023-04-12

布的包版本数量约为 80 万。然而,上个月 NPM 的新包数量超过了 140 万。 这些空包来源于一些恶意行为者创建的自动化发布流程:他们先创建一些带病毒的恶意网站,然后在 npm 等开源生态平台上发布带有这些网站链接的空包

2022-08-09

权限,进行持久化等操作)   GitHub中超过3.5万开源代码被投毒 8月3日13时名为 StephenLacy 的开发者在 Twitter 中表示其发现 GitHub 中大量仓库被加入了恶意代码,感染文件超过3.5万,涉及 Go 代码、NPM 安装脚

2021-12-21

包依赖于存在漏洞的 log4j 代码。这意味着 Maven Central 上超过 8% 的软件包至少有一个版本受漏洞影响(此数字不包括所有 Java 软件包,例如直接分发的二进制文件) 就生态系统影响而言,8% 是相当巨大的数字。因为对 Maven Centr

2022-03-15

可以看到(上图),截止发稿 uBlock Origin 的用户数量已经超过了 556.9 万,而 Adblock Plus 的用户数量为 553.8 万,两者之间有大约 3 万用户数量的差距。uBlock Origin 如今一举成为了 Firefox 浏览器中用户数量最多的扩展。 作为一个后

2023-01-29

文件当作导入映射。 Node/npm 和 LSP 的修复 这个版本包括超过 25 个与 npm 功能和 Node-API 相关的错误修复。此外,LSP 继续得到改进,有超过 10 个 bug 修复。 对 Deno API 的改变 对稳定 API 的改变: Deno.permissions APIs 获得了同步对

2023-02-25

022 年的年度回顾。 在 2022 年,Google 通过 VRP 共支付了 1200 万美元,相比 2021 年的 870 万美元,增长了约 40%。2021 年的 870 万美元曾是 VRP 计划的历史新高,如今则是再创新纪录。 这些安全研究员在 2022 年帮助 Google 修复了 290

2023-01-11

大之处在于其种类繁多的扩展,VSCode Marketplace 中共有超过 40,000 个扩展。 作为 VSCode 用户,所使用的 VSCode 扩展是否值得信赖或合法也是一个问题。根据介绍,虽然有几种功能有助于保护开发人员免受恶意扩展的侵害。譬如

2023-02-17

块链或加密货币等应用程序使用。 老牌劲旅屹立不倒:超过 90% 的组织都在维护一个 Maven repo,它最常用于索引由 Java、JavaScript、Python、C 和 C++ 组成的软件工件。 越来越关注内存安全以保护软件供应链:现代语言如 Apple Swift

2023-11-03

应用在核心系统上。特性以及支持度都非常好。社区人数超过3500人。测试用例1500个,质量有保障。 如果你是第一次知道这个项目,可以去官网或相关的主页进行了解: 项目官网: https://liteflow.cc gitee托管仓库: https://git

2022-12-06

防复制或去向追踪的相关技术。 在v1.17.0版本中,DataEase加入了对水印设置的支持,用户可以将DataEase账号、昵称、IP和系统当前时间进行自由组合,形成水印内容。设置的水印将会影响所有仪表板展现的场景,包括仪表板预览、