超过200个针对Azure开发者的恶意NPM包被抓获

据观察，一种新的大规模供应链攻击的目标是Azure开发人员，他们拥有不少于218个恶意NPM包，目的是窃取个人身份信息。

JFrog研究人员Andrey Polkovnychenko和Shachar Menashe在一份新报告中说：“在手动检查了其中一些软件包之后，很明显，这是针对整个@azure NPM范围的有针对性的攻击，攻击者利用自动脚本创建帐户并上传覆盖整个范围的恶意软件包。”。

整套恶意软件包在发布大约两天后被披露给NPM维护人员，导致其迅速被删除，但不是在每个软件包平均下载50次之前。

该攻击指的是所谓的误操作，当坏人将名称模仿合法库的恶意软件包推到NPM或PyPI等公共软件注册中心，希望诱骗用户安装它们时，就会发生这种攻击。

在DevSecOps公司观察到的这个特定案例中，据说对手创建了数十个恶意副本，其名称与其现有的@azure scope包相同，但没有范围名称（例如@azure/core跟踪与core跟踪）。

研究人员说：“攻击者依赖于这样一个事实：一些开发人员在安装软件包时可能会错误地忽略@azure前缀。”。“例如，错误地运行npm install core跟踪，而不是正确的命令–；npm install@azure/core跟踪。”

该攻击不仅利用了一个唯一的用户名将每个包上传到存储库以避免引起怀疑，还利用了恶意软件库的高版本号（例如99.10.9），表明有人试图实施依赖混淆攻击。

如果开发人员无意中安装了其中一个软件包，则会导致执行侦察有效载荷，该有效载荷旨在列出目录，并收集有关用户当前工作目录的信息，以及与网络接口和DNS服务器相关的IP地址，所有这些都会过滤到硬编码的远程服务器。

研究人员说：“由于供应链攻击的激增，尤其是通过NPM和PyPI软件包存储库的攻击，似乎应该增加更多的审查和缓解措施。”。

“例如，在npm用户创建上添加CAPTCHA机制将不允许攻击者轻松创建任意数量的用户，从而上传恶意软件包，从而使攻击识别更容易。”