信息來源：安全內參

軟件供應鏈攻擊的頻率和規(guī)模正在不斷升級。近日，一個被代號“RED-LILI”的黑客發(fā)動了針對NPM存儲庫的大規(guī)模供應鏈攻擊，一口氣發(fā)布近800個惡意NPM包。

“通常，攻擊者使用一個匿名的一次性NPM帳戶發(fā)起攻擊，”以色列安全公司Checkmarx透露：“但這一次，攻擊者似乎完全自動化了NPM帳戶創(chuàng)建過程，為每個惡意程序包都開設了專用帳戶，這使得這批新的惡意包更難被發(fā)現和完全清理?！?

此前，JFrog和Sonatype最近的報告都詳細介紹了數百個惡意NPM包，這些包利用依賴混淆和域名仿冒等技術針對Azure、Uber和Airbnb的開發(fā)人員。

根據對RED-LILI作案手法的詳細分析，其異常活動的最早證據出現在2022年2月23日，該惡意程序包集群在一周內“爆發(fā)式”發(fā)布。

據Checkmarx透露，黑客使用自定義Python代碼和Selenium等Web測試工具的組合來模擬在注冊表中復制用戶創(chuàng)建過程所需的用戶操作，從而將惡意庫自動化批量上傳到NPM。

為了繞過NPM設置的一次性密碼(OTP)驗證，攻擊者還利用一種名為Interactsh的開源工具將NPM服務器發(fā)送的OTP提取到注冊期間提供的電子郵件地址，從而成功創(chuàng)建帳戶。

有了這個全新的NPM用戶帳戶后，攻擊者會在生成訪問令牌之后，以自動方式創(chuàng)建和發(fā)布一個惡意程序包，且每個帳戶只發(fā)布一個，這種方式可以有效繞過電子郵件OTP驗證。

研究人員說：“這是軟件供應鏈攻擊的一個里程碑，標志著供應鏈攻擊者正在不斷提高技能并讓防御變得更加艱難?！薄巴ㄟ^跨多個用戶名分發(fā)惡意軟件包，攻擊者使防御者更難完全關聯(lián)和防御，增加感染的機會?！?

參考鏈接：

https://checkmarx.com/blog/a-beautiful-factory-for-malicious-packages/