事件简述
近日,checkmarx 研究人员公开了一起涉及众多包的 NPM 软件供应链攻击事件。
事件最早可以追溯到 2021年12月,攻击者投放了1200多个包含混淆加密的恶意 NPM,这些包含有相同的挖矿脚本 eazyminer,该脚本的目的是利用如 Database 和 Web 等所在服务器的机器闲置资源进行挖矿。
攻击事件分析
攻击手法
CuteBoi 主要依赖 mail.tm 提供的一次性电子邮件服务和免费的邮件获取 API ,攻击者可以通过该 API 在发布包时绕过双因子验证(2FA),创建大量用户账号。
(图片源自checkmarx.com)
所有已发布的恶意包都使用了 eazyminer 的源代码,该包利用 Web 服务器上未被使用的资源来挖取 Monero 币。
(恶意包中的 eazyminer 调用代码片段)
包中分别包含Linux和Windows中的可执行文件ronbhdcvpqkxwget和ronbhdcvpqkxwget.exe。
(目录中的挖矿程序)
在判断操作系统环境信息后进行调用。
(判断环境信息)
攻击影响
如果开发者安装了这些包,则会在被调用时挖掘 Monero币。由于 eazyminer 的作者在源代码中设置了cpu 优先级(eazyminer)为0,因此挖矿进程不会抢占其他进程的已有资源,不容易被察觉。开发者在检查时认为服务器处于正常运行的状态,但挖矿包很有可能在后台偷偷执行。
(eazyminer原作者的声明)
本周OSCS社区监测到至少3起以上的投毒挖矿事件,建议开发者及时关注。
参考链接
-
https://checkmarx.com/blog/cuteboi-detected-preparing-a-large-scale-crypto-mining-campaign-on-npm-users/
-
checkmarx研究人员公开了恶意软件包的列表,恶意包存放地址:
https://cuteboi.info/
了解更多
OSCS (开源软件供应链安全社区)会第一时间发布开源项目最新的安全风险动态,包括开源包安全漏洞、投毒情报等信息,社区用户可通过企微、钉钉、飞书等方式进行订阅。
具体订阅方式详见:
https://www.oscs1024.com/docs/vuln-warning/intro/