DDOS防御专家-提供超强DDoS高防/CC防护/大流量清洗服务!
当前位置:主页 > DDOS防御 > 正文

服务器安全防护_天鹰抗DDOS防火墙_精准

05-02 DDOS防御

服务器安全防护_天鹰抗DDOS防火墙_精准

本周末,一份关于神秘的npm恶意软件从安装在用户机器上的不和谐应用程序和网络浏览器中窃取敏感信息的报告浮出水面。名为"fallguys"的恶意组件以npm下载为生,它模拟了广受欢迎的视频游戏fallguys:Ultimate Knockout的API。然而,它的实际目的是相当险恶的。正如ZDNet首先报告并由npm安全团队分析的那样,当组件包含在您的开发构建中时,它将与您的程序一起运行,并访问以下文件:/AppData/Local/Google/Chrome/User\x20Data/Default/Local\x20Storage/leveldb/AppData/Roaming/Opera\x20Software/Opera\x20Stable/Local\x20Storage/leveldb/AppData/Local/Yandex/YandexBrowser/User\x20Data/Default/Local\x20Storage/leveldb/AppData/Local/BraveSoftware/Brave浏览器/User\x20Data/Default/Local\x20Storage/leveldb/AppData/漫游/不协调/本地\x20存储/级别数据库文件列表包括不同浏览器(如Chrome、Opera、Yandex和Brave)的本地存储leveldb文件,以及任何本地安装的Discord应用程序。LevelDB是一种键值存储格式,主要用于web浏览器存储数据,尤其是与用户的web浏览会话相关的数据。"fallguys"组件将窥探这些文件并将其上载到第三方Discord服务器,例如通过webhooks。npm"替罪羊"内部窥探Npm删除了恶意软件包,但幸运的是,我们在一个安全的归档文件中保留了所有组件的副本,因此Sonatype安全研究团队能够快速分析恶意软件。事实上,我们早在消息传出前就把它输入到我们的数据中,这样Nexus用户就安全了!在这篇Nexus Intelligence Insights帖子中,我们分享了一个关于"骗子"的第一眼。漏洞标识符:sonatype-2020-0774漏洞类型:嵌入恶意代码影响的包:fallguys以前在npm下载中出现CVSS 3.1严重性指标:CVSS.1/平均值H/S:H/S:H/A:C/N:CCVSS3.1得分:10分(关键)虽然"fallguys"包可能从一开始就带有恶意,但在1.0.6版本中,该包表现出明显的可疑行为。版本1.0.6中有三个文件。一个是自述文件,它鼓吹恶意软件是Fall Guys游戏API,以获得用户的信任,另外两个文件包括应用程序清单("包.json")和主"索引.js".这个自述文件.MD"fallguys"npm malwareImage中存在的文件源:Sonatype舱单上什么也没说,只是索引.js"我们看到了很多事情:第一个常量"0x13e5"是一个包含不同字符串和多个"leveldb"文件位置的神秘数组,恶意软件最终将开始读取这些文件。这是模糊处理过程的全部内容,将应用程序需要的不同字符串插入到单个数组中并从该数组中读取。例如,在第28行,变量赋值从这个"0x13e5"数组中获得一个值,该数组位于一个模糊的下标地址"0xe64ed6"(15093462)。这里也提到了诸如"用户名"、"电子邮件"、"电话"、"令牌抓取器"等字符串,ddos防御策略,但是它们的用途并不是很明显。中的模糊代码索引.js"fallguys"与不和谐的webhooks文件(由我们展开,使其更清晰)图片来源:Sonatype在第35行,我们看到"webhook"变量,其中包含指向攻击者Discord应用程序的URL,从上面列出的"leveldb"文件中读取的数据将被发布到:var webhook='https://discordapp[.]com/api/webhooks/746189410042904617/RQVJEOhzAblK5FlkQ-wixkwfkfg5fcdsjtevueairvlaqmtvhgbuhuqfaffpzyhfneq'在撰写本文时,我们的测试证实了webhook端点不再具有响应性,很可能是由于不和谐而导致的:"fallguys"恶意软件会将敏感信息发布到"send"函数还有一个嵌套的JSON对象,该对象似乎包含配置文件元数据,高防cdnwan,其中包含作者姓名、头像缩略图、用户名、电子邮件等位。恶意"fallguys"组件映像源中的"send"函数:Sonatype主要是你的浏览器数据,其他什么都没有在这样一个时代,海外高防cdn,对手通过诸如八达通(Octopus)扫描器(Octopus Scanner)等攻击手段污染软件供应链,或者利用排版技术挖掘比特币,而恶意软件只针对浏览器数据存储和不协调文件,而不触及系统更敏感的区域,这无疑是很奇怪的。ZDNet的报告指出:"恶意软件包似乎一直在进行某种侦察,收集受害者的数据,并试图评估受感染的开发人员访问的网站,然后通过更新软件包来传递更有针对性的代码。"。谢天谢地,这个恶意软件很早就被发现了,而且只被下载了300次左右。然而,我们并不总是那么幸运。我们的新常态根据我们的《2020年软件供应链状况报告》,下一代软件供应链的"攻击"更加险恶,php防御cc攻击,因为坏人不再等待公开的漏洞披露。相反,维盟软路由ddos防御,他们正采取主动,积极地将恶意代码注入到供应全球供应链的开源项目中。通过将他们的关注点转移到"上游",例如在"fallguys"中使用开源恶意软件,坏角色可以感染单个组件,然后使用合法的软件工作流和更新机制将这些组件分发到"下游"。我们的2020年报告还显示,这种情况正在以快速增长的速度发生。事实上,在过去的一年里,下一代软件供应链攻击事件增加了430%。记住这一点,几乎不可能手动跟踪和跟踪这些组件。Sonatype的世界级安全研究数据,结合我们的自动恶意软件检测技术,可保护您的开发人员、客户和软件供应链免受此类感染。具有持续部署软件版本能力的DevOps本机组织具有自动化优势,使其能够领先恶意意图一步。Sonatype Nexus客户在发现Sonatype-2020-0774后的几个小时内就接到了通知,他们的开发团队自动收到了如何补救风险的指示。他们的浏览历史和游戏IMs是安全的。如果您不是Sonatype的客户,并且想知道您的代码是否存在漏洞,可以使用Sonatype的免费Nexus漏洞扫描程序快速查明。访问Nexus Intelligence Insights页面,深入了解类似此漏洞的其他漏洞,或订阅automatically receive Nexus Intelligence Insights hot off press。

版权保护: 本文由 DDOS防御专家 原创,转载请保留链接: /ddos1/67503.html

DDoS防御专家简介孤之剑
国内资深白帽子二十人组成员,前BAT资深网络安全工程师,知名网络安全站点板块大神,每年提交Google及微软漏洞,原sina微博负载插件开发者,现在整体防御复合攻击长期接受1-4.7T攻击,CC防护自主开发指纹识别系统,可以做到99.9999%的无敌防御。
  • 文章总数
  • 8947813访问次数
  • 建站天数

    QQ客服

    400-0797-119

    X