npm供给链遭域名抢注攻击，恶意软件对准开发人员

首页 > 安全钻研 > 安全传递 > 安全简讯

npm供给链遭域名抢注攻击，恶意软件对准开发人员

颁布功夫 2024-11-07

1.npm供给链遭域名抢注攻击，恶意软件对准开发人员

11月5日，一场针对开发人员的域名抢注活动在通过数百个盛行的JavaScript库（每周下载量达数千万次）传布恶意软件，以窃取和监督信息。该npm供给链攻击似乎发源于10月份，多家安全机构已发出警报。攻击者颁布看似合法的恶意npm包，名称与合法包类似但略有差距，诱骗开发人员装置，从而获得对其机械的悠久接见权限。这些恶意包使用以太坊智能合约进行号令和节造（C2）操作，使传统C2阻止步骤失效，增长了恶意软件分发活动的荫蔽性。Socket和Phylum的安全钻研人员在万圣节期间发出忠告，指出身份不明的恶意分子在使用假装成Puppeteer、Bignum.js和各类加密钱币库的域名抢注包（共287个包）进行攻击。Checkmarx也颁布了类似忠告，指出恶意软件“jest-fet-mock”旨在假意合法的JavaScript测试实用法式。Checkmarx发现，恶意软件在装置后会执行系统窥伺，凭据主机操作系统下载适当的有效负载，窃取痛处并成立悠久性。

https://www.theregister.com/2024/11/05/typosquatting_npm_campaign/

2. Winos4.0框架：黑客利用游戏利用对准Windows用户进行恶意攻击

11月6日，黑客近期频仍利用恶意的Winos4.0框架攻击Windows用户，该框架通过假装成无害的游戏有关利用法式进行传布。据趋向科技今夏颁布的汇报，一个名为Void Arachne/Silver Fox的威胁行为者曾利用批改并绑缚恶意组件的软件（如VPN和谷歌Chrome浏览器）针对中国市场。现网络安全公司Fortinet发现，黑客活动已演变，持续依赖游戏和游戏有关文件攻击中国用户。当执行假装成合法的装置法式时，它们会从特定网址下载DLL文件，启动多步骤习染过程。这蕴含下载其他文件、设置执行环境、成立悠久性、加载API、检索配置数据、成立与C2服务器的衔接等。最终，加载的登录�？橹葱兄匾褚獠僮�，如网络系统信息、查抄安全软件、网络加密钱币钱包数据、维持与C2服务器的衔接，以及截屏、监督剪贴板变动和窃取文件。Winos4.0还能查抄多种安全工具过程，以确定是否在受监控环境中运行，并调整行为。该框架职能壮大，类似Cobalt Strike和Sliver，且新活动的出现批注其在恶意操作中的作用已坚韧。

https://www.bleepingcomputer.com/news/security/hackers-increasingly-use-winos40-post-exploitation-kit-in-attacks/

3.VEILDrive威胁活动：利用微软SaaS服务进行网络垂钓与恶意软件部署

11月6日，一项名为VEILDrive的持续威胁活动被发现利用微软的合法服务，如Teams、SharePoint、Quick Assist和OneDrive，进行鱼叉式网络垂钓攻击并分发恶意软件。以色列网络安全公司Hunters在调查一路针对美国关键基础设施组织的网络事务时发现了这一活动。攻击者假意IT团队成员，通过Teams新闻和急剧副手工具要求远程接见系统，并利用之前受到攻击的组织的可信基础设施来分发攻击。他们通过SharePoint分享了一个指向托管在分歧租户上的ZIP存档文件的下载链接，该存档中嵌入了远程接见工具LiteManager。而后，通过急剧副手获得的远程接见权限，在系统上创建了定期执行LiteManager的打算工作�；瓜略亓说诙鯶IP文件，其中蕴含基于Java的恶意软件和整个Java开发工具包。该恶意软件使用硬编码的痛处衔接到敌手节造的OneDrive帐户，并将其用作号令和节造服务器，以在受习染的系统上获取和执行PowerShell号令。这种依赖SaaS的战术使实时检测变得复杂，并绕过了传统防御措施。

https://thehackernews.com/2024/11/veildrive-attack-exploits-microsoft.html

4.华盛顿州法院系统遭网络攻击瘫痪，垂危复原中

11月6日，自周日官员发现网络存在“未经授权的活动”以来，华盛顿州各地的法院系统陷入瘫痪，所有州法院的司法信息系统、网站及有关服务均受持续影响。据《西雅图时报》报路，法院治理办公室（AOC）已迅快行动，确保关键系统安全并致力复原服务。AOC副主任温迪·费雷尔暗示，出于安全思考，系统已自动关关，并与专家合作昼夜复原。部门市法院和地域法院仍在提供有限服务，而皮尔斯县高档法院书记员办公室虽服务中断，但仍可进行在线接见，并正积极复原服务。预计法院根基职能和诉讼法式将按打算进行，客户服务柜台盛开，但建议提前确认服务可用性。同时，部门服务如判决/�？钣喽钚畔⒑偷缱臃ㄍゼ吐妓阉髟谄ざ瓜胤ㄔ焊丛霸莶怀捎�。类似事务曾在堪萨斯州产生，2023年10月中旬，其法院治理局网络遭入侵，黑客窃取敏感文件，拥有勒索软件攻击迹象，迫使司法部门关关多个信息系统。

https://www.bleepingcomputer.com/news/security/washington-courts-systems-offline-following-weekend-cyberattack/

5.SteelFox恶意软件：利用易受攻击驱动技术窃守信息与挖掘加密钱币

11月6日，名为“SteelFox”的新恶意软件利用“自带易受攻击的驱动法式”技术获取Windows系统权限，以挖掘加密钱币并窃守信誉卡数据等信息。该软件通过论坛和种子追踪器以破解工具的大局分发，可激活多种软件的合法版本�？ò退够暄腥嗽庇�8月发现该攻击活动，但恶意软件自2023年2月已存在，并通过多种渠路增长了传布。SteelFox使用易受攻击的驱动法式提升权限，创建服务并利用缝隙将权限提升到第一流别。该恶意软件还用于加密钱币挖掘，并激活信息窃取组件，从网络浏览器中提取数据。只管C2域是硬编码的，但威胁行为者通过切换IP地址和使用Google公共DNS和DoH暗藏其地位。SteelFox攻击没有特定指标，但重要针对AutoCAD、JetBrains和Foxit PDF Editor的用户，已习染多个国度的系统。

https://www.bleepingcomputer.com/news/security/new-steelfox-malware-hijacks-windows-pcs-using-vulnerable-driver/

6.SelectBlinds网站遭黑客攻击，20万顾客信誉卡信息被盗

11月7日，黑客在大型零售商SelectBlinds的网站上植入了恶意软件，导致20多万顾客的信誉卡信息和其他数据被盗。该恶意软件至少从1月7日就已存在，于9月28日被员工发现。除了登录信息，黑客还可能获取了顾客的姓名、电子邮件、送货和账单地址、电话号码以及支付卡号、有效期和安全/CVV代码。为了迫使用户更改密码，SelectBlinds已锁定用户账户并删除了恶意软件，同时忠告在其他网站上沉复使用一样登录信息的人该当即更改密码。黑客利用电子盗刷器窃守信誉卡信息已成为持久存在的问题，他们通过向易受攻击的网站注入恶意代码来捕获敏感数据，并将这些信息销售给信誉卡诓骗机构。据Recorded Future在上个月的一份汇报中称，黑客在暗网信誉卡商店中颁布了1500万条信誉卡纪录以供销售。

https://therecord.media/selectblinds-customers-credit-card-info-data-breach-website-malware

7*24幼时服务热线

400-624-3900

+86(10)56631988(港澳专线)

官方微信

官方微博

网御星云合多数据书生电子云子可信

司法申明

GA黄金甲

网络安全防护

网络安全检测

利用安全

数据安全

安全治理

云安全

工控安全

移动及终端安全

密码利用安全

大模型利用安全

专业安全服务

安全运营中心

知白学院

威胁谍报中心

安全传递

钻研汇报

安全团队

渠路系统

售后服务

升级布告

软件升级

公司概况

新闻动态

技术专题

人才招聘

投资者关系

资源中心

联系GA黄金甲

安全钻研