前端開發人員注意！NPM遭「誤植域名」攻擊長達2周

科技 08-05

關注E安全關注網路安全一手資訊

E安全8月5日訊，攻擊者使用NPM注（Node.js包管理註冊表）上的crossenv惡意軟體竊取開發人員的憑證，這起攻擊活動在38個惡意NPM包被刪除後得以停止。

前端開發人員注意！NPM遭「誤植域名」攻擊長達2周

開發人員會定期添加JavaScript代碼至Node.js應用程序，以實現最常用的功能，因此開發人員本身不必編寫代碼。

NPM首席技術官希傑·西爾韋里奧周三發布博文指出，7月19日至7月31日，用戶「hacktask」發布一系列與現存NPM包相似的域名實施「誤植域名」（Typosquatting）攻擊。

E安全百科：
1、NPM
全稱是 Node Package Manager，npm為JavaScript開發者提供了一個分享代碼的方式，同時也能夠為開發者提供一個在他們項目中重用代碼的方式。
2、「誤植域名」（Typosquatting）攻擊
Typosquatting也被稱為：URL劫持（URL hijacking），是一種域名搶注和品牌劫持形式，針對是在Web瀏覽器輸入網址時出現拼寫錯誤的網路用戶（例如將Google.com誤打成「Gooogle.com」）。

西爾韋里奧表示，在過去，這種攻擊較為偶然。他們很少看到有人故意誤植域名與現存包競爭。而這次，包命名既為故意之舉，也是惡意行為，其意圖在於收集被騙用戶的數據。

瑞典開發人員奧斯卡·波爾姆斯頓在包中發現惡意軟體「crossenv」，其專門用來欺騙用戶搜索cross-env---設置環境變數的熱門腳本。

前端開發人員注意！NPM遭「誤植域名」攻擊長達2周

波爾姆斯頓在接受媒體電話採訪時表示，由於環境變數是將憑證傳遞至軟體的常用方式，因此環境變數是相當不錯的選擇。

除此之外，環境變數能用來存儲賬戶名稱、密碼、令牌和為應用程序、雲服務和API提供訪問權的密鑰。

這種情況下，crossenv惡意軟體試圖複製受害者設備上的任何環境變數集合，並將其傳輸至攻擊者在npm.hacktask.net控制的伺服器。

Crossenv使用的JSON配置文件運行名為package-setup.js的腳本，這個腳本允許將現有環境變數轉換成字元串，之後通過POST請求發送數據。

西爾韋里奧表示，hacktask提交的38個包已從npm移除。她指出，Lift Security公司掃描了具有相同包設置代碼的npm包，但未發現其它實例。

前端開發人員注意！NPM遭「誤植域名」攻擊長達2周

西爾韋里奧對攻擊效果表示懷疑。她表示，誤植域名結果被證明不是將惡意軟體植入該註冊表的最有效方式，用戶趨向於搜索或複製粘貼發布的代碼。

39個與hacktask有關的npm包中，大多數自7月中旬以來下載量為40左右，排除因好奇心驅使的下載，而crossenv惡意包最大的下載量為700。但大多數這些包是npm鏡像伺服器觸發的自動下載。

babelcli: 42
cross-env.js: 43
crossenv: 679

d3.js: 72
fabric-js: 46
ffmepg: 44
gruntcli: 67
http-proxy.js: 41
jquery.js: 136
mariadb: 92
mongose: 196
mssql-node: 46
mssql.js: 48

mysqljs: 77
node-fabric: 87
node-opencv: 94
node-opensl: 40
node-openssl: 29
node-sqlite: 61
node-tkinter: 39
nodecaffe: 40
nodefabric: 44
nodeffmpeg: 39

nodemailer-js: 40
nodemailer.js: 39
nodemssql: 44
noderequest: 40
nodesass: 66
nodesqlite: 45
opencv.js: 40
openssl.js: 43
proxy.js: 43
shadowsock: 40

smb: 40
sqlite.js: 48
sqliter: 45
sqlserver: 50
tkinter: 45