新兴恶意供应链攻击：NPM平台面临威胁

关键要点

最新的恶意供应链攻击针对NPM平台，强调开发团队需加强开源包风险检测。该攻击最初是一个打字欺骗活动，传播恶意包nodehideconsolewindows。恶意包装载了一个Discord机器人，进一步种植名为r77的根套件。开源项目可能成为分发恶意软件的新方式，低技能攻击者和脚本小子更易发起攻击。安全措施亟需提高，以保护企业软件系统不受攻击。

最近发现的针对NPM平台的恶意供应链攻击，突显了开发团队在检测开源包风险方面必须加强工具的必要性。

根据ReversingLabs在10月4日的博客发布的信息，这一供应链攻击源于8月的一个打字欺骗活动。研究人员指出，恶意包“nodehideconsolewindows”的传播，旨在下载一个Discord机器人，借此安装一个名为r77的开源根套件。

研究人员表示，这是首次发现恶意开源包具备根套件功能，这表明开源项目可能会越来越多地被视为分发恶意软件的手段。

与之前针对NPM库的多次攻击类似，这次最新的攻击同样主要依赖于打字欺骗，即网络犯罪分子发布与合法且广泛使用的开源模块名称相似的恶意包。

在本次案件中，恶意包“nodehideconsolewindows”模仿了合法的NPM包nodehideconsolewindow，这是开发者用来切换应用程序控制台窗口可见性的工具。这两个包几乎完全相同，仅字母s的有无将恶意包与合法包区分开。

这种情况之所以危险，是因为参与此活动的所有项目都是在像GitHub这样的大型平台上发布的，声称用于培训目的的良好文档的开源恶意软件。研究人员指出，整个攻击活动是由在线上自由且公开可用的组件构成的。

“这样的可用性使得供应链攻击过去主要是资源充足且技术高超的国家或网络犯罪集团的领域变得可被低技能的恶意行为者和脚本小子访问，”研究人员写道。 “对所有类型的开发组织而言，这无异于比针对3CX或SolarWinds的高级、有针对性的隐秘活动更糟糕的消息。这表明，供应链攻击的大门现在已经向低风险行为者开放，他们可能欺骗不谨慎的开发者，以多种方式渗透开发管道，产生广泛的影响。”

白鲸加速器官方

不幸的是，攻击开源包的情况已变得越来越普遍，Keeper Security的产品负责人Zane Bond指出。Bond表示，开源软件包是许多企业软件系统的基础，分布范围遍及全球，这也是近年来供应链安全成为优先事项的原因之一。

“保护这些环境的网络安全技术必须覆盖每位用户、每个设备、每个位置，”Bond说道。“数据显示，人的因素更难予以保护，往往是攻击链中出错概率最高的环节。因此，组织应优先实施现代、优雅且普遍的网络安全解决方案，与身份解决方案无缝集成，以提供企业级的可见性、安全性、报告与控制。”

Netenrich的首席威胁猎手John Bambenek补充道，NPM通过命令行安装模块，这意味着意外的打字错误可能会发生。Bambenek表示，在这种情况下，如果获得的不是期望的库而是DiscordRAT一个开源工具，同样也可以安装r77这个开源根套件。

“使用开源恶意软件也很有趣，因为从GitHub拉取内容的库和其他工具是正常行为，通常会被忽视，”Bambenek