发布日期:2023-09-08 08:00 点击次数:103
近日,究诘东谈主员在 Rust 编程说话的 crate 注册表中发现了一些坏心软件包,特意针对开采东谈主员。
Phylum 在上周发布的一份论说中称,这些库是由一个名为 "amaperf "的用户在 2023 年 8 月 14 日至 16 日之间上传的。现已删除的软件包称呼如下:postgress、if-cfg、xrvrv、serd、oncecell、lazystatic 和 envlogger。
目下还不了了该行动的最终倡导是什么,但发现这些可疑模块齐带有拿获操作系统信息(即 Windows、Linux、macOS 或未知)的功能,并通过音问平台的 API 将数据传输到硬编码的 Telegram 频谈。
这标明该行动可能处于早期阶段,威逼行径者可能依然撒下一张大网,攻陷尽可能多的开采东谈主员野心计,从而提供具有更强数据渗出才能的流氓更新。
该公司暗示:由于不错打听 SSH 密钥、坐褥基础标准和公司 IP,开采东谈主员目下成了极有价值的计算。
这并不是 crates.io 第一次成为供应链报复的计算。2022 年 5 月,SentinelOne 揭露了一个名为 CrateDepression 的行动,该行动愚弄错别字时间窃取明锐信息并下载汗漫文献。
这次浮现的同期,Phylum 还揭露了一个名为 emails-helper 的 npm 软件包,该软件包一朝装配,就会配置一个回调机制,将机器信息外泄到辛苦处事器,并启动随附的加密二进制文献,手脚复杂报复的一部分。
该模块被宣传为 "字据不同局势考据电子邮件地址的 JavaScript 库",目下已被 npm 下架,但自 2023 年 8 月 24 日上传到软件仓库以来,已诱骗了 707 次下载。
该公司暗示:报复者试图通过 HTTP 进行数据浸透,淌若失败,报复者就会转而通过 DNS 进行数据浸透。二进制文献部署了浸透测试用具,如 dnscat2、mettle 和 Cobalt Strike Beacon。
关于开采东谈主员来说,像运转 npm install 这么的浅易操作就能激发这个全心想象的报复链,因此开采东谈主员在进行软件开采行动时必须严慎。
Python 软件包索引(PyPI)上也发现了坏心软件包,这些软件包试图从受感染的系统中窃取明锐信息,并从辛苦处事器下载未知的第二阶段灵验载荷。