盗墓笔记第二季,梦入神机

新聞中心

這里有您想知道的互聯(lián)網(wǎng)營銷解決方案

專門針對開發(fā)人員，攻擊者利用Rust獲取操作系統(tǒng)信息

近日，研究人員在 Rust 編程語言的 crate 注冊表中發(fā)現(xiàn)了一些惡意軟件包，專門針對開發(fā)人員。

Phylum 在上周發(fā)布的一份報告中稱，這些庫是由一個名為 "amaperf "的用戶在 2023 年 8 月 14 日至 16 日之間上傳的?，F(xiàn)已刪除的軟件包名稱如下：postgress、if-cfg、xrvrv、serd、oncecell、lazystatic 和 envlogger。

目前還不清楚該活動的最終目的是什么，但發(fā)現(xiàn)這些可疑模塊都帶有捕獲操作系統(tǒng)信息(即 Windows、Linux、macOS 或未知)的功能，并通過消息平臺的 API 將數(shù)據(jù)傳輸?shù)接簿幋a的 Telegram 頻道。

這表明該活動可能處于早期階段，威脅行為者可能已經(jīng)撒下一張大網(wǎng)，攻陷盡可能多的開發(fā)人員計算機，從而提供具有更強數(shù)據(jù)滲出能力的流氓更新。

該公司表示：由于可以訪問 SSH 密鑰、生產(chǎn)基礎(chǔ)設(shè)施和公司 IP，開發(fā)人員現(xiàn)在成了極有價值的目標。

這并不是 crates.io 第一次成為供應(yīng)鏈攻擊的目標。2022 年 5 月，SentinelOne 揭露了一個名為 CrateDepression 的活動，該活動利用錯別字技術(shù)竊取敏感信息并下載任意文件。

此次披露的同時，Phylum 還揭露了一個名為 emails-helper 的 npm 軟件包，該軟件包一旦安裝，就會設(shè)置一個回調(diào)機制，將機器信息外泄到遠程服務(wù)器，并啟動隨附的加密二進制文件，作為復(fù)雜攻擊的一部分。

該模塊被宣傳為 "根據(jù)不同格式驗證電子郵件地址的 JavaScript 庫"，目前已被 npm 下架，但自 2023 年 8 月 24 日上傳到軟件倉庫以來，已吸引了 707 次下載。

該公司表示：攻擊者試圖通過 HTTP 進行數(shù)據(jù)滲透，如果失敗，攻擊者就會轉(zhuǎn)而通過 DNS 進行數(shù)據(jù)滲透。二進制文件部署了滲透測試工具，如 dnscat2、mettle 和 Cobalt Strike Beacon。

對于開發(fā)人員來說，像運行 npm install 這樣的簡單操作就能引發(fā)這個精心設(shè)計的攻擊鏈，因此開發(fā)人員在進行軟件開發(fā)活動時必須謹慎。

Python 軟件包索引(PyPI)上也發(fā)現(xiàn)了惡意軟件包，這些軟件包試圖從受感染的系統(tǒng)中竊取敏感信息，并從遠程服務(wù)器下載未知的第二階段有效載荷。

參考鏈接：https://thehackernews.com/2023/08/developers-beware-malicious-rust.html

本文題目：專門針對開發(fā)人員，攻擊者利用Rust獲取操作系統(tǒng)信息
當前路徑：http://m.fisionsoft.com.cn/article/cdcidij.html

新聞中心

其他資訊