近日,一种针对 JavaScript 开发者的供应链攻击被曝光。网络犯罪分子入侵多个流行 npm 包传播 “Scavenger”(拾荒者)恶意软件。此次攻击目标包括 eslint-config-prettier 等常用代码格式化包及几款开发工具。最初是 GitHub 用户发现 npm 注册表中出现可疑的 eslint-config-prettier 版本,后经维护者证实,其 npm 账户因网络钓鱼邮件攻击被入侵,多个恶意版本被发布。Humpty 的 RE 博客将此恶意软件家族命名为 “Scavenger”。此次攻击标志着供应链威胁升级,专门针对开发者生态系统。恶意软件影响超出常规信息窃取,目标是基于 Chromium 的浏览器及其相关数据存储,意在获取开发者凭证等信息。
“拾荒者” 恶意软件通过被篡改的 eslint-config-prettier 包采用复杂感染途径。安装后执行的 install.js 文件中的 logDiskSpace () 函数作为初始有效载荷交付机制,利用字符串连接躲避分析并执行捆绑 DLL 文件。恶意软件加载器采用多种反分析技术,在命令与控制通信中使用 XXTEA 分组密码加密 。
京公网安备 11010802033237号
