新的攻击使用恶意的npm包来支持网络钓鱼工具包

开源存储库上的几个恶意npm包已被用于供应链攻击和网络钓鱼活动。

这些指控来自ReversingLabs的研究人员，他们在上周发表的一篇博客文章中表示，这些软件包具有双重威胁，一方面影响应用程序最终用户，另一方面支持基于电子邮件的网络钓鱼攻击，主要针对Microsoft 365用户。

软件威胁研究人员Lucija valentiki表示，该团队在5月11日至6月13日期间发现了十多个恶意npm软件包。

这些包模仿合法模块，例如每周有数百万次下载的jquery。尽管恶意软件包被下载了大约1000次，但在检测到它们后，它们很快就从npm中删除了。

由于使用恶意基础设施来促进受害者数据的盗窃，ReversingLabs将此活动命名为Brainleeches行动。

在行动的第一部分，研究人员发现了六个专门用于网络钓鱼攻击的软件包。这些软件包与网络钓鱼活动有关，这些钓鱼活动通过恶意电子邮件附件发送的欺骗性http://Microsoft.com登录表单收集用户数据。

第二批包括七个针对电子邮件网络钓鱼活动和软件供应链攻击的软件包。这些包旨在将凭证收集脚本植入无意中包含恶意npm包的应用程序中。

ReversingLabs的分析显示，恶意的npm包在活跃的网络钓鱼攻击中发挥了作用，这些攻击可能是由低技能的攻击者进行的。虽然供应链攻击的全面范围尚不清楚，但使用混淆的代码和调用jquery等流行的包名，引发了人们对潜在危害的担忧。

瓦伦蒂奇说：“这一发现强调了组织对恶意或被破坏的开源软件包保持警惕的重要性。这次活动进一步强调了组织需要注意开源软件包可能是恶意的或被破坏的迹象。通常，这些攻击取决于开发者对命名细节的忽视，但这并不是全部。”

使用混淆代码是一个重要的警告信号。其他指标还包括可疑的命名和包版本，带有粗略历史记录的新包，低于预期的下载和依赖等等。

仔细检查第三方代码的特性和行为以及跟踪依赖关系以检测潜在威胁也是至关重要的。