热门Npm组件COA疑遭劫持恐导致数百万项目的开发者帐密遭窃

发布时间：2021-11-07 23:02:02 所属栏目：动态来源：互联网

导读：锁定Npm用户而来、并以带有恶意功能的组件发动攻击，今年已陆续发生多起。例如，提供UAParser.js组件的开发者Faisal Salman于10月底表示，他的Npm账号遭到他人挟持，并发布了带有恶意程序的版本，而使得Npm母公司与美国政府都提出警告，呼吁用户不只要尽快移

锁定Npm用户而来、并以带有恶意功能的组件发动攻击，今年已陆续发生多起。例如，提供UAParser.js组件的开发者Faisal Salman于10月底表示，他的Npm账号遭到他人挟持，并发布了带有恶意程序的版本，而使得Npm母公司与美国政府都提出警告，呼吁用户不只要尽快移除具有恶意功能的UAParser.js，还应该更换受害计算机上各式应用程序的密码。

但不到半个月，类似的事件再度上演。根据安全新闻网站Bleeping Computer的报道，名为COA（Command-Option-Argument）的热门组件疑似遭到劫持，而在数个小时内连续发布带有恶意程序的版本。

这个组件用途，是提供开发者以命令行下达指令的解析器，最后版本（2.0.2版）于2018年12月推出，平均每个星期约有9百万次下载，粗估目前GitHub上有5百万个开源项目采用，影响范围可能相当广泛。

一旦计算机遭到恶意版本的COA入侵，就有可能被部署Danabot窃密软件，并将偷得的各式帐密、信用卡资料、屏幕截屏，以及监听按钮资料等，回传给攻击者。针对这起事故，用户要删除有问题的组件与相关文件来应对，再者，组件开发者也应该通过采用多因素验证（MFA），来避免自己的Npm账号遭到异常访问。

这起攻击事件是如何被发现的呢？约在11月4日晚间，React程序开发者Roberto Wesley Overdijk留意到，COA在相隔近3年后不寻常地发布新的版本，经过他的比对，新的版本带有恶意程序代码，并会在后台尝试执行后台程序。该名开发人员指出，虽然他不确定发布恶意版本COA的人士意图为何，但这些“新版本”已经破坏网络上采用COA组件的软件项目。

这些含有恶意内容的COA组件发布后不久，也受到多名开发者加入讨论此事，并表示他们的软件开发项目在这些新版组件推出后，遭遇到编译上的错误。

上述情况Npm获报后，就将含有恶意程序版的COA组件下架。但在数个小时之后，又有另一个名为RC的Npm传出类似的情况，发布了1.2.9、1.3.9、2.3.9等3个恶意版本。

从COA组件出现恶意版本的事故看来，与前述UAParser.js组件开发者账号遭黑的情形，可说是相当类似，不同之处是UAParser.js的开发者出面证实，他的Npm账号遭到挟持，而COA的开发者并未现身说明。

但这两起攻击事件究竟有没有关联？根据Bleeping Computer的分析，他们发现存在于恶意版本COA的攻击程序代码，与恶意版本UAParser.js所带有的攻击程序代码，内容几乎一致，研究人员推测，背后的攻击者可能有所关联。

再者，研究人员指出，攻击者的COA、UAParser.js，以及RC恶意版本，都是挟带名为Danabot的木马程序，并通过regsvr32.exe与rundll32.exe来执行。

（编辑：92站长网）

【声明】本站内容均来自网络，其相关言论仅代表作者个人观点，不代表本站立场。若无意侵犯到您的权利，请及时与联系站长删除相关内容!

壹号本新款 ONE XPLAY	英特尔推出i9-12900KS
首发价 1199 元，小米	联想ThinkBook 16+此日

热门Npm组件COA疑遭劫持 恐导致数百万项目的开发者帐密遭窃

热门Npm组件COA疑遭劫持恐导致数百万项目的开发者帐密遭窃