在不同的目標事件中，威脅行為者試圖將惡意軟件上傳到Node Package Manager注冊表中，以獲得訪問權(quán)限并竊取憑證。

在兩起獨立的事件中，威脅參與者最近試圖通過節(jié)點包管理器(npm)注冊表上的中毒包將惡意軟件引入兩家不同銀行的軟件開發(fā)環(huán)境。

觀察到這些攻擊的Checkmarx研究人員認為，這是攻擊者首次通過開源軟件供應(yīng)鏈攻擊銀行。在本周的一份報告中，該供應(yīng)商將這兩起攻擊描述為他們最近觀察到的更大趨勢的一部分，銀行已成為具體目標。

Checkmarx表示:“這些攻擊展示了先進的技術(shù)，包括通過附加惡意功能來瞄準受害銀行Web資產(chǎn)中的特定組件?！?/p>

該供應(yīng)商在報告中強調(diào)了4月份的一次攻擊。在這起事件中，一名威脅行為者冒充目標銀行的員工，向npm注冊表上傳了兩個惡意軟件包。

Checkmarx的研究人員在領(lǐng)英(LinkedIn)的個人資料中發(fā)現(xiàn)，該軟件包的貢獻者在目標銀行工作，并最初認為這些軟件包是該銀行正在進行的滲透測試的一部分。

這兩個npm包包含一個預安裝腳本，該腳本在被攻破的系統(tǒng)上安裝時執(zhí)行。攻擊鏈展開時，腳本首先識別主機系統(tǒng)的操作系統(tǒng)。

然后，根據(jù)操作系統(tǒng)是Windows、Linux還是MacOS，腳本對npm包中相應(yīng)的加密文件進行解密。攻擊鏈繼續(xù)通過解密文件從攻擊者控制的指揮與控制(C2)服務(wù)器下載第二階段有效載荷。

Checkmarx說：“攻擊者巧妙地利用了Azure的CDN子域來有效地傳遞第二階段的有效載荷。這種策略特別聰明，因為它繞過了傳統(tǒng)的拒絕列表方法，因為Azure是合法服務(wù)。為了使攻擊更加可信和難以檢測，威脅參與者使用了包含目標銀行名稱的子域?！?/strong>

Checkmarx的研究表明，第二階段的有效載荷是浩劫框架，這是一個流行的開源滲透測試框架，組織經(jīng)常使用它進行安全測試和審計。Checkmarx表示，由于能夠逃避Windows Defender和其他標準端點安全控制，浩劫已經(jīng)成為一種流行的攻擊后工具。

Checkmarx的安全研究員阿維德?格爾森(Aviad Gershon)在接受采訪時表示:“部署浩劫框架將使攻擊者能夠訪問銀行網(wǎng)絡(luò)中受感染的機器。從那時起，后果將取決于銀行的防御以及攻擊者的能力和目的，如數(shù)據(jù)盜竊、資金盜竊、勒索軟件等?！?/strong>

標簽：