发现被木马感染的 jQuery:针对 NPM 的大范围的供应链攻击

资讯 3周前 admin
83 0 0

Phylum的网络安全研究人员发现了一种针对流行的 JavaScript 库 jQuery 的复杂且持续的供应链攻击。此次攻击自 5 月底开始,通过 npm(节点包管理器)存储库、GitHub 和 jsDelivr 内容分发网络 (CDN) 上的数十个包分发 jQuery 的木马版本。

发现被木马感染的 jQuery:针对 NPM 的大范围的供应链攻击

攻击者巧妙地修改了合法的 jQuery 代码,将恶意代码插入“end”函数中,该函数是 jQuery 原型的一部分,通常会被其他常用函数(如“fadeTo”)间接调用。这种微妙的改变使攻击者能够从使用受感染 jQuery 版本的网站窃取敏感的表单数据。

此次攻击的范围值得关注,恶意的jQuery 变体遍布多个平台,并且以各种软件包名称存在。攻击者还采用了多种策略,包括混淆、误导性版本警告以及使用合法的 CDN 来掩盖其恶意活动。

 

虽然此次攻击的具体目标尚不清楚,但木马程序包的广泛传播表明,对不知情地纳入恶意代码的开发人员和网站可能会产生广泛影响。受影响程序包看似随机,再加上恶意软件的复杂性质,令人怀疑攻击者的动机和能力。

鉴于此次攻击仍在持续,我们敦促开发人员和网站所有者在从 npm 或其他来源安装 jQuery 软件包时务必谨慎。验证软件包的真实性,仔细检查代码是否有任何可疑的修改,并考虑使用可以检测和缓解供应链攻击的安全工具。

 

此次攻击活动中相关的npm包

发布时间 名称 版本
2024-06-23 icnes 8.0.0
2024-06-23 stylesyosx 9.0.3
2024-06-22 imagegs 1.0.0
2024-06-22 yorz 3.0.0
2024-06-21 kurxjy 9.0.0
2024-06-20 kinthailxzz 1.0.0
2024-06-19 ganz 2.0.1
2024-06-19 kikos 1.0.0
2024-06-17 rgmedia 3.7.2
2024-06-17 rgmedia21 3.7.3
2024-06-17 ngentot 3.7.1
2024-06-17 mediaa 2.0.0
2024-06-16 jquerrty 3.0.0
2024-06-16 styyle 3.0.0
2024-06-16 my-gh 8.0.1
2024-06-16 sytlesheets 3.0.0
2024-06-16 stylessheet 3.0.0
2024-06-15 styleshteks 2.0.0
2024-06-15 fontawessome 9.0.1
2024-06-15 fontawesom-1 9.0.1
2024-06-14 nesiahanzz 1.0.0
2024-06-14 dsiailon 1.0.0
2024-06-14 footersicons 3.0.0
2024-06-14 footericonss 3.6.0
2024-06-14 footericonds 3.7.1
2024-06-14 fontawesome-3 2.0.0
2024-06-14 fontawesom-4 2.0.0
2024-06-13 jquertyi 3.6.4
2024-06-13 fontawesome-2 9.0.1
2024-06-13 stylishteksz 2.0.0
2024-06-13 stylescss 9.0.1
2024-06-12 dsiain 1.0.0
2024-06-11 logoo 2.0.0
2024-06-11 stylishhteks 2.0.1
2024-06-10 imagezz 1.0.0
2024-06-10 stylishtekss 3.0.0
2024-06-10 stylesheeet 9.0.1
2024-06-09 dnuhstng 2.0.0
2024-06-09 stylishteks 2.0.0
2024-06-09 mobiletrack 9.0.0
2024-06-09 fontaway 9.0.0
2024-06-08 sttylee 9.0.1
2024-06-06 kontolq 9.0.1
2024-06-06 kimakq 9.0.1
2024-06-05 awokkdyaa 9.0.1
2024-06-05 vxcs 9.0.1
2024-06-05 kimakz 9.0.1
2024-06-05 xhyp 9.0.1
2024-06-05 xytta 1.0.0
2024-06-05 livinjs 1.0.0
2024-06-04 fontawesome-1 9.0.0
2024-06-04 fontwesome 9.0.0
2024-06-04 footricon 9.0.0
2024-06-04 bootstrapcloud 1.3.3
2024-06-04 flammerxdjson 9.0.1
2024-06-04 ajexx 9.0.0
2024-06-04 komcay 9.0.1
2024-06-04 ajex 9.0.1
2024-06-04 komcaxx 9.0.2
2024-06-04 komcaxx 9.0.1
2024-06-03 komcax 9.0.0
2024-06-03 cloudhosting 7.13.0
2024-06-02 cloudhost 7.13.0
2024-06-02 bootrun 3.9.7
2024-06-02 xxxtesting 1.2.0
2024-06-02 bootstar 9.4.8
2024-06-02 jqueryxxx 1.0.0
2024-05-26 cdnjquery 9.0.1

 

此次攻击活动中使用的域名

https://paneljs[.]hanznesia[.]my[.]id
https://api-web-vrip[.]hanznesia[.]my[.]id
https://log[.]apisystem[.]engineer
https://irisainginbos[.]icikipoxx[.]pw
https://patipride[.]icikipoxx[.]pw
https://apii[.]fukaes[.]ninja
https://pukil[.]dannew[.]biz[.]id
https://api[.]jstyy[.]xyz
https://qxue[.]biz[.]id
https://api[.]newrxl[.]online
https://api[.]iimg[.]my[.]id
https://apiweb[.]eventtss[.]my[.]id
https://pokemon[.]denii[.]biz[.]id
https://apii[.]codatuys[.]cab
https://api[.]codatuys[.]biz[.]id
https://saystem[.]ditzzultimate[.]xyz
https://paneljs[.]dimashost[.]xyz
https://cssimage[.]dimashost[.]xyz
https://ajax[.]failexpect[.]biz[.]id
https://ns[.]api-system[.]engineer
https://log[.]systems-alexhost[.]xyz
https://api-system[.]engineer
https://systems-alexhost[.]xyz
https://panel[.]api-bo[.]my[.]id
https://project[.]systemgoods[.]me
https://danu[.]eventtss[.]my[.]id
https://panel-host[.]clannesia[.]com
http://apii-pandawara[.]ganznesia[.]my[.]id
https://system-alexhosting[.]biz[.]id
https://nd[.]api-system[.]engineer
https://anti-spam[.]truex[.]biz[.]id
https://panel-host[.]dmdpanel[.]my[.]id
https://api-bo[.]my[.]id

 

 

原文始发于微信公众号(独眼情报):发现被木马感染的 jQuery:针对 NPM 的大范围的供应链攻击

版权声明:admin 发表于 2024年7月5日 上午10:37。
转载请注明:发现被木马感染的 jQuery:针对 NPM 的大范围的供应链攻击 | CTF导航

相关文章