首頁 > 安全研究 > 安全通報 > 安全簡訊

npm供應鏈遭域名搶注攻擊,惡意軟件瞄準開發人員

發布時間 2024-11-07

1.npm供應鏈遭域名搶注攻擊,惡意軟件瞄準開發人員


11月5日,一場針對開發人員的域名搶注活動正在通過數百個流行的JavaScript庫(每周下載量達數千萬次)傳播惡意軟件,以竊取和監視信息。該npm供應鏈攻擊似乎起源于10月份,多家安全機構已發出警報。攻擊者發布看似合法的惡意npm包,名稱與合法包相似但略有差異,誘騙開發人員安裝,從而獲得對其機器的持久訪問權限。這些惡意包使用以太坊智能合約進行命令和控制(C2)操作,使傳統C2阻止方法失效,增加了惡意軟件分發活動的隱蔽性。Socket和Phylum的安全研究人員在萬圣節期間發出警告,指出身份不明的惡意分子正在使用偽裝成Puppeteer、Bignum.js和各種加密貨幣庫的域名搶注包(共287個包)進行攻擊。Checkmarx也發布了類似警告,指出惡意軟件“jest-fet-mock”旨在冒充合法的JavaScript測試實用程序。Checkmarx發現,惡意軟件在安裝后會執行系統偵察,根據主機操作系統下載適當的有效負載,竊取憑據并建立持久性。


https://www.theregister.com/2024/11/05/typosquatting_npm_campaign/


2. Winos4.0框架:黑客利用游戲應用瞄準Windows用戶進行惡意攻擊


11月6日,黑客近期頻繁利用惡意的Winos4.0框架攻擊Windows用戶,該框架通過偽裝成無害的游戲相關應用程序進行傳播。據趨勢科技今夏發布的報告,一個名為Void Arachne/Silver Fox的威脅行為者曾利用修改并捆綁惡意組件的軟件(如VPN和谷歌Chrome瀏覽器)針對中國市場?,F網絡安全公司Fortinet發現,黑客活動已演變,繼續依賴游戲和游戲相關文件攻擊中國用戶。當執行偽裝成合法的安裝程序時,它們會從特定網址下載DLL文件,啟動多步驟感染過程。這包括下載其他文件、設置執行環境、建立持久性、加載API、檢索配置數據、建立與C2服務器的連接等。最終,加載的登錄模塊執行主要惡意操作,如收集系統信息、檢查安全軟件、收集加密貨幣錢包數據、維持與C2服務器的連接,以及截屏、監視剪貼板變化和竊取文件。Winos4.0還能檢查多種安全工具進程,以確定是否在受監控環境中運行,并調整行為。該框架功能強大,類似Cobalt Strike和Sliver,且新活動的出現表明其在惡意操作中的作用已鞏固。


https://www.bleepingcomputer.com/news/security/hackers-increasingly-use-winos40-post-exploitation-kit-in-attacks/


3.VEILDrive威脅活動:利用微軟SaaS服務進行網絡釣魚與惡意軟件部署


11月6日,一項名為VEILDrive的持續威脅活動被發現利用微軟的合法服務,如Teams、SharePoint、Quick Assist和OneDrive,進行魚叉式網絡釣魚攻擊并分發惡意軟件。以色列網絡安全公司Hunters在調查一起針對美國關鍵基礎設施組織的網絡事件時發現了這一活動。攻擊者冒充IT團隊成員,通過Teams消息和快速助手工具請求遠程訪問系統,并利用之前受到攻擊的組織的可信基礎設施來分發攻擊。他們通過SharePoint分享了一個指向托管在不同租戶上的ZIP存檔文件的下載鏈接,該存檔中嵌入了遠程訪問工具LiteManager。然后,通過快速助手獲得的遠程訪問權限,在系統上創建了定期執行LiteManager的計劃任務。還下載了第二個ZIP文件,其中包含基于Java的惡意軟件和整個Java開發工具包。該惡意軟件使用硬編碼的憑據連接到對手控制的OneDrive帳戶,并將其用作命令和控制服務器,以在受感染的系統上獲取和執行PowerShell命令。這種依賴SaaS的策略使實時檢測變得復雜,并繞過了傳統防御措施。


https://thehackernews.com/2024/11/veildrive-attack-exploits-microsoft.html


4.華盛頓州法院系統遭網絡攻擊癱瘓,緊急恢復中


11月6日,自周日官員發現網絡存在“未經授權的活動”以來,華盛頓州各地的法院系統陷入癱瘓,所有州法院的司法信息系統、網站及相關服務均受持續影響。據《西雅圖時報》報道,法院管理辦公室(AOC)已迅速行動,確保關鍵系統安全并努力恢復服務。AOC副主任溫迪·費雷爾表示,出于安全考慮,系統已主動關閉,并與專家合作晝夜恢復。部分市法院和地區法院仍在提供有限服務,而皮爾斯縣高等法院書記員辦公室雖服務中斷,但仍可進行在線訪問,并正積極恢復服務。預計法院基本職能和訴訟程序將按計劃進行,客戶服務柜臺開放,但建議提前確認服務可用性。同時,部分服務如判決/罰款余額信息和電子法庭記錄搜索在皮爾斯縣法院恢復前暫不可用。類似事件曾在堪薩斯州發生,2023年10月中旬,其法院管理局網絡遭入侵,黑客竊取敏感文件,具有勒索軟件攻擊跡象,迫使司法部門關閉多個信息系統。


https://www.bleepingcomputer.com/news/security/washington-courts-systems-offline-following-weekend-cyberattack/


5.SteelFox惡意軟件:利用易受攻擊驅動技術竊取信息與挖掘加密貨幣


11月6日,名為“SteelFox”的新惡意軟件利用“自帶易受攻擊的驅動程序”技術獲取Windows系統權限,以挖掘加密貨幣并竊取信用卡數據等信息。該軟件通過論壇和種子追蹤器以破解工具的形式分發,可激活多種軟件的合法版本??ò退够芯咳藛T于8月發現該攻擊活動,但惡意軟件自2023年2月已存在,并通過多種渠道增加了傳播。SteelFox使用易受攻擊的驅動程序提升權限,創建服務并利用漏洞將權限提升到最高級別。該惡意軟件還用于加密貨幣挖掘,并激活信息竊取組件,從網絡瀏覽器中提取數據。盡管C2域是硬編碼的,但威脅行為者通過切換IP地址和使用Google公共DNS和DoH隱藏其位置。SteelFox攻擊沒有特定目標,但主要針對AutoCAD、JetBrains和Foxit PDF Editor的用戶,已感染多個國家的系統。


https://www.bleepingcomputer.com/news/security/new-steelfox-malware-hijacks-windows-pcs-using-vulnerable-driver/


6.SelectBlinds網站遭黑客攻擊,20萬顧客信用卡信息被盜


11月7日,黑客在大型零售商SelectBlinds的網站上植入了惡意軟件,導致20多萬顧客的信用卡信息和其他數據被盜。該惡意軟件至少從1月7日就已存在,于9月28日被員工發現。除了登錄信息,黑客還可能獲取了顧客的姓名、電子郵件、送貨和賬單地址、電話號碼以及支付卡號、有效期和安全/CVV代碼。為了迫使用戶更改密碼,SelectBlinds已鎖定用戶賬戶并刪除了惡意軟件,同時警告在其他網站上重復使用相同登錄信息的人應立即更改密碼。黑客利用電子盜刷器竊取信用卡信息已成為長期存在的問題,他們通過向易受攻擊的網站注入惡意代碼來捕獲敏感數據,并將這些信息出售給信用卡欺詐機構。據Recorded Future在上個月的一份報告中稱,黑客在暗網信用卡商店中發布了1500萬條信用卡記錄以供出售。


https://therecord.media/selectblinds-customers-credit-card-info-data-breach-website-malware

上一篇 下一篇