又见古老的Typosquatting攻击:这一次侵略Npm窃取开发者身份凭证

图片 1有点攻击形式固然听起来很纯真,但有时却也足以生效,比如typosquatting攻击——大家上次看看那种攻击是在上年七月份,那本身也是种很古老的攻击方式。

所谓的typosquatting,重若是经过用户的拼写错误诱导用户访问或下载某个伪装成合法工具的恶意程序——其焦点只在乎工具名或文件名和原版很像,比如app1e.com,那种类型的钓鱼就是typosquatting。最近npm 就饱受了那种攻击。

有人在 npm 上传了过多恶心包

npm的CTO CJ
Silverio在博客上刊载了一篇文章提到:十二月19日-31日之间,名为hacktask的账户发动了typosquatting攻击,此账户发表了一名目繁多package,名称和npm中相比盛行的package类似。

那实在就是typosquatting攻击的精髓。而地点提到的npm其实是node.js的package管理工具。开发人士会卷入一些常用作用的代码公布到Node.js上,这样任何的人士就足以复用类似意义的代码,而不用再一次造轮子。

Silverio在博客中说,这么些package的命名相对是蓄意、恶意的,目标就是为了浑水摸鱼用户,并最终收集到用户数量。好在hacktask发布的享有package都曾经从npm移除。安全探究人口临时发现除了hacktask之外,npm中还尚无其余同类typosquatting攻击的package。

那一个黑心的package和下载数突显如下:

babelcli: 42

cross-env.js: 43

crossenv: 679

d3.js: 72

fabric-js: 46

ffmepg: 44

gruntcli: 67

http-proxy.js: 41

jquery.js: 136

mariadb: 92

mongose: 196

mssql-node: 46

mssql.js: 48

mysqljs: 77

node-fabric: 87

node-opencv: 94

node-opensl: 40

node-openssl: 29

node-sqlite: 61

node-tkinter: 39

nodecaffe: 40

nodefabric: 44

nodeffmpeg: 39

nodemailer-js: 40

nodemailer.js: 39

nodemssql: 44

noderequest: 40

nodesass: 66

nodesqlite: 45

opencv.js: 40

openssl.js: 43

proxy.js: 43

shadowsock: 40

smb: 40

sqlite.js: 48

sqliter: 45

sqlserver: 50

tkinter: 45

对于此事,Node.js社区指出:

假诺您早就下载并曾经安装了上面提到的这个package的话,你应有及时删除或互换掉你在命令行环境下存储的各样紧要新闻。

图片 2

攻击并不高明

“过去,那样的事大多都是偶尔的,我们也见过故意山寨现有库的名字来与原来开发者竞争的情事。但这一次,package的命名完全是明知故问和恶心的,目标就是诈骗用户,从而从她们那里收集有用的音讯,“Silverio说。

放在瑞典王国的开发人士OscarBolmsten在一个名为crossenv的package中窥见了恶意代码,而芸芸众生的确想找的却是cross-env——
一款当下很盛行的用来设置环境变量的脚本。

“通过应用环境变量的法门将地方凭证递交给软件,那样的做法很常见。所以这是一件很好的政工,”Silverio在接受电话采访时说道。

环境变量还用于存储用户名,密码,token,和连接一些应用程序,云服务,API访问权限的密码。

在攻击者发动的typosquatting攻击中,恶意代码会尝试复制受害者机器上设置的具备环境变量,并将其传输到攻击者控制的服务器npm.hacktask.net上。

crossenv使用的JSON配置文件运行了一个名为package-setup.js的本子,它将现有的环境变量转换为字符串,然后通过POST请求发送数据。

图片 3

依据Silverio所说,由hacktask提交的大约40个npm包已从npm删除,现在主导已经清理彻底,我们扫描了各种npm
package,来查找恶意使用的装置代码,可是没有察觉其余类似hacktask的情事。

Silverio对这一次攻击的效果表示了嘀咕,她说:“通过拼写错误来将恶意软件倒入注册表的手法并不高明,因为人们更赞成于选取搜索照旧复制粘贴已发布的代码。

八月底旬的话,排除因为好奇的关联前往下载,hacktask上传的绝一大半package,每个下载量几乎是40次,恶意的crossenv软件包的下载次数最多,为700次,但那其中大多数都被认为是触发了npm镜像服务器的全自动下载。

Silverio揣测在那段时期唯有约50人下载了恶心的crossenv包,她说他还从未察觉有开发者由于这次事件造成账户被黑的反馈处境。

即便如此hacktask的账户已经被封了,但其幕后主谋却还浑然不知是什么人。

图片 4

那种攻击有措施预防吗?

当问到npm是或不是已运用相应的方法来严防其余用户名下的好像攻击时,Silverio表示那种攻击依然可能不可能即时检测到。

她说:“即使大家在宣布的进程中无法随时随刻的掌控一切,但大家树立了一个运作非凡的种类”,Silverio表彰了npm社区的戒心。

固然,Silverio仍表示,npm正在切磋怎么分辨有一般名字的npm
package,用来防治今后的typosquatting攻击。npm也正值与金昌公司Smyte一起检测揭橥过的杂质信息。很扎眼,垃圾音信的发表者希望物色引擎检索到README文件,来拉长协调的网站名次。

二零一六年的kiwicon,开发者Jeff
Andrews在有关Node.js的安全性的演说上问了投机如此一个题材:“我使用Node.js或npm,但自身怎么保险这么做是平安的啊?”他答道:“根本不可能有限支持。”

网站地图xml地图