一次大规模的供应链攻击分发了800多个恶意NPM包

被戏称为“威胁演员”红丽丽“发布了近800个恶意模块，与正在进行的针对NPM软件包存储库的大规模供应链攻击活动有关。

以色列安全公司Checkmarx称：“通常，攻击者使用匿名一次性NPM账户发起攻击”。“这一次，攻击者似乎已经完全自动化了NPM帐户创建过程，并打开了专用帐户，每个包一个，使其新的恶意软件包更难被发现。”

这些发现基于JFrog和Sonatype最近的报告，这两份报告都详细介绍了数百个NPM软件包，它们利用依赖项混淆和拼写错误等技术，以Azure、Uber和Airbnb开发者为目标。

根据对RED-LILI作案手法的详细分析，最早的异常活动证据据说发生在2022年2月23日，在一周的时间里，大量恶意软件包以“突发”的形式发布。

具体来说，将流氓库上传到NPM（Checkmarx称之为“工厂”）的自动化过程涉及使用自定义Python代码和Selenium等web测试工具的组合，以模拟在注册表中复制用户创建过程所需的用户操作。

为了通过NPM设置的一次性密码（OTP）验证屏障，攻击者利用名为Interactish的开源工具将NPM服务器发送的OTP提取到注册期间提供的电子邮件地址，从而有效地允许帐户创建请求成功。

有了这个全新的NPM用户帐户，威胁参与者就可以自动创建和发布一个恶意软件包，每个帐户只有一个，但在生成访问令牌之前，不需要电子邮件OTP挑战就可以发布该软件包。

研究人员说：“随着供应链攻击者提高技能，让捍卫者的生活更加艰难，这次袭击标志着他们进步的另一个里程碑”。“通过在多个用户名之间分发软件包，攻击者使防御者更难通过‘一次攻击’将它们关联起来（并）全部删除。当然，这会增加感染的几率”。