【安全资讯】恶意的NPM包通过ChromePass工具窃取浏览器密码

猎影实验室 2021-07-27 07:14:11 657人浏览

引言

研究人员发现,NPM包使用ChromePass工具窃取Chrome浏览器密码。NPM 是 Node.js 的包管理器,托管超过 150 万个独特的包,每月提供超过 300 亿的包下载。整个存储库使用 ReversingLabs Titanium Platform 静态分析引擎进行处理。nodejs_net_server包的NPM 存储库页面显示该包的最新版本 v1.1.2 是在 6 个月前发布的。包主页和存储库的 URL 引用导致托管在 GitHub 上的位置不存在。这个包的作者名叫chrunlee,似乎是 GitHub 上的活跃开发者。除了预期的文本 JavaScript 文件外,NPM 在其包中还包含各种类型的可执行文件(PE、ELF、MachO等)。在这次大规模 NPM 存储库分析中,平台递归提取 NPM 包,然后使用机器学习算法来检测嵌入式恶意软件威胁。


简况

研究人员使用静态分析在nodejs_net_server包的多个版本中发现了嵌入式 Windows 可执行文件:881db33f855ab8e268d66c933689cdd32c40b694。从这些包中收集的元数据显示该文件的原始名称是“a.exe”,它位于“lib”文件夹内。在进行威胁搜寻时,文件名由单个字母和扩展名组成的文件会立即发出警告信号。详细调查显示,“a.exe”实际上是一个ChromePass实用程序,该工具可用于恢复存储在 Chrome 网络浏览器中的密码。ChromePass 工具的屏幕截图如下:


NPM 版本历史显示,该软件包有 12 个已发布版本,自该软件包于 2019 年 2 月底首次发布以来,总共下载了超过 1,283 次。nodejs_net_server 版本历史如下:


攻击者在恶意软件放置在软件包存储库中的情况下,通过使用类似于其他流行软件包的名称来伪装他们的软件包,以便他轻松地引诱目标安装该软件包。 通过在配置文件中提供一个“bin”字段,  NPM 包提供了一种将一个或多个可执行文件安装到 PATH 中的方法。安装包时,NPM 会将该文件符号链接到prefix/bin文件夹,或./node_modules/.bin/本地安装的文件夹。攻击者可以为这些可执行文件分配任何名称,如果已存在具有相同名称的模块,它将被覆盖并映射到恶意软件提供的脚本。尽管 NPM 需要“--force”标志才能在全局安装的情况下工作,但对于本地包安装则不需要。


总结

研究人员表示,攻击者利用的最常见的攻击媒介之一是公共软件包存储库。由于这些存储库拥有大量托管包,它们为恶意软件提供了一个很好的藏身之处。在这些存储库中反复发现恶意包,证明了对安全解决方案的需求日益增长,这些解决方案可以提供可靠的识别和针对这些类型的攻击的保护。

失陷指标(IOC)13
账号窃密 其他
    0条评论
    0
    0
    分享
    安全星图平台专注于威胁情报的收集、处理、分析、应用,定期提供高质量的威胁情报。