npm供应链遭域名抢注攻击，恶意软件瞄准开发人员

首页 > 宁静研究 > 宁静通报 > 宁静简讯

npm供应链遭域名抢注攻击，恶意软件瞄准开发人员

宣布时间 2024-11-07

1.npm供应链遭域名抢注攻击，恶意软件瞄准开发人员

11月5日，一场针对开发人员的域名抢注活动正在通过数百个流行的JavaScript库（每周下载量达数千万次）流传恶意软件，以窃取和监视信息。该npm供应链攻击似乎起源于10月份，多家宁静机构已发出警报。攻击者宣布看似合法的恶意npm包，名称与合法包相似但略有差异，诱骗开发人员安装，从而获得对其机器的持久访问权限。这些恶意包使用以太坊智能合约进行命令和控制（C2）操作，使传统C2阻止要领失效，增加了恶意软件分发活动的隐蔽性。Socket和Phylum的宁静研究人员在万圣节期间发出警告，指身世份不明的恶意分子正在使用伪装成Puppeteer、Bignum.js和种种加密货币库的域名抢注包（共287个包）进行攻击。Checkmarx也宣布了类似警告，指出恶意软件“jest-fet-mock”旨在冒充合法的JavaScript测试实用法式。Checkmarx发现，恶意软件在安装后会执行系统侦察，凭据主机操作系统下载适当的有效负载，窃取凭据并建立持久性。

https://www.theregister.com/2024/11/05/typosquatting_npm_campaign/

2. Winos4.0框架：黑客利用游戏应用瞄准Windows用户进行恶意攻击

11月6日，黑客近期频繁利用恶意的Winos4.0框架攻击Windows用户，该框架通过伪装成无害的游戏相关应用法式进行流传。据趋势科技今夏宣布的陈诉，一个名为Void Arachne/Silver Fox的威胁行为者曾利用修改并捆绑恶意组件的软件（如VPN和谷歌Chrome浏览器）针对中国市场。现网络宁静公司Fortinet发现，黑客活动已演变，继续依赖游戏和游戏相关文件攻击中国用户。当执行伪装成合法的安装法式时，它们会从特定网址下载DLL文件，启动多步骤熏染过程。这包罗下载其他文件、设置执行环境、建立持久性、加载API、检索配置数据、建立与C2服务器的连接等。最终，加载的登录�？橹葱兄饕褚獠僮�，如收集系统信息、检查宁静软件、收集加密货币钱包数据、维持与C2服务器的连接，以及截屏、监视剪贴板变化和窃取文件。Winos4.0还能检查多种宁静工具进程，以确定是否在受监控环境中运行，并调整行为。该框架功效强大，类似Cobalt Strike和Sliver，且新活动的泛起表明其在恶意操作中的作用已牢固。

https://www.bleepingcomputer.com/news/security/hackers-increasingly-use-winos40-post-exploitation-kit-in-attacks/

3.VEILDrive威胁活动：利用微软SaaS服务进行网络钓鱼与恶意软件部署

11月6日，一项名为VEILDrive的连续威胁活动被发现利用微软的合法服务，如Teams、SharePoint、Quick Assist和OneDrive，进行鱼叉式网络钓鱼攻击并分发恶意软件。以色列网络宁静公司Hunters在视察一起针对美国要害基础设施组织的网络事件时发现了这一活动。攻击者冒充IT团队成员，通过Teams消息和快速助手工具请求远程访问系统，并利用之前受到攻击的组织的可信基础设施来分发攻击。他们通过SharePoint分享了一个指向托管在差异租户上的ZIP存档文件的下载链接，该存档中嵌入了远程访问工具LiteManager。然后，通过快速助手获得的远程访问权限，在系统上创建了定期执行LiteManager的计划任务�；瓜略亓说诙鯶IP文件，其中包罗基于Java的恶意软件和整个Java开发工具包。该恶意软件使用硬编码的凭据连接到对手控制的OneDrive帐户，并将其用作命令和控制服务器，以在受熏染的系统上获取和执行PowerShell命令。这种依赖SaaS的计谋使实时检测变得庞大，并绕过了传统防御措施。

https://thehackernews.com/2024/11/veildrive-attack-exploits-microsoft.html

4.华盛顿州法院系统遭网络攻击瘫痪，紧急恢复中

11月6日，自周日官员发现网络存在“未经授权的活动”以来，华盛顿州各地的法院系统陷入瘫痪，所有州法院的司法信息系统、网站及相关服务均受连续影响。据《西雅图时报》报道，法院管理办公室（AOC）已迅速行动，确保要害系统宁静并努力恢复服务。AOC副主任温迪·费雷尔体现，出于宁静考虑，系统已主动关闭，并与专家合作昼夜恢复。部门市法院和地域法院仍在提供有限服务，而皮尔斯县高等法院书记员办公室虽服务中断，但仍可进行在线访问，并正积极恢复服务。预计法院基本职能和诉讼法式将按计划进行，客户服务柜台开放，但建议提前确认服务可用性。同时，部门服务如判决/�？钣喽钚畔⒑偷缱臃ㄍゼ锹妓阉髟谄ざ瓜胤ㄔ夯指辞霸莶恍杏�。类似事件曾在堪萨斯州发生，2023年10月中旬，其法院管理局网络遭入侵，黑客窃取敏感文件，具有勒索软件攻击迹象，迫使司法部门关闭多个信息系统。

https://www.bleepingcomputer.com/news/security/washington-courts-systems-offline-following-weekend-cyberattack/

5.SteelFox恶意软件：利用易受攻击驱动技术窃取信息与挖掘加密货币

11月6日，名为“SteelFox”的新恶意软件利用“自带易受攻击的驱动法式”技术获取Windows系统权限，以挖掘加密货币并窃取信用卡数据等信息。该软件通过论坛和种子追踪器以破解工具的形式分发，可激活多种软件的合法版本�？ò退够芯咳嗽庇�8月发现该攻击活动，但恶意软件自2023年2月已存在，并通过多种渠道增加了流传。SteelFox使用易受攻击的驱动法式提升权限，创建服务并利用漏洞将权限提升到最高级别。该恶意软件还用于加密货币挖掘，并激活信息窃取组件，从网络浏览器中提取数据。尽管C2域是硬编码的，但威胁行为者通过切换IP地址和使用Google公共DNS和DoH隐藏其位置。SteelFox攻击没有特定目标，但主要针对AutoCAD、JetBrains和Foxit PDF Editor的用户，已熏染多个国家的系统。

https://www.bleepingcomputer.com/news/security/new-steelfox-malware-hijacks-windows-pcs-using-vulnerable-driver/

6.SelectBlinds网站遭黑客攻击，20万主顾信用卡信息被盗

11月7日，黑客在大型零售商SelectBlinds的网站上植入了恶意软件，导致20多万主顾的信用卡信息和其他数据被盗。该恶意软件至少从1月7日就已存在，于9月28日被员工发现。除了登录信息，黑客还可能获取了主顾的姓名、电子邮件、送货和账单地址、电话号码以及支付卡号、有效期和宁静/CVV代码。为了迫使用户更改密码，SelectBlinds已锁定用户账户并删除了恶意软件，同时警告在其他网站上重复使用相同登录信息的人应立即更改密码。黑客利用电子盗刷器窃取信用卡信息已成为恒久存在的问题，他们通过向易受攻击的网站注入恶意代码来捕捉敏感数据，并将这些信息出售给信用卡欺诈机构。据Recorded Future在上个月的一份陈诉中称，黑客在暗网信用卡商店中宣布了1500万条信用卡记录以供出售。

https://therecord.media/selectblinds-customers-credit-card-info-data-breach-website-malware

7*24小时服务热线

400-624-3900

官方微信

官方微博

网御星云合众数据书生电子云子可信

执法声明

东森平台

网络宁静防护

网络宁静检测

应用宁静

数据宁静

宁静管理

云宁静

工控宁静

移动及终端宁静

密码应用宁静

专业宁静服务

宁静运营中心

知白学院

威胁情报中心

宁静通报

研究陈诉

宁静团队

渠道体系

售后服务

升级通告

软件升级

公司概况

新闻动态

技术专题

人才招聘

投资者关系

资源中心

联系东森平台

宁静研究