DevOps 安全公司 JFrog 在 npm(Node.js 包管理器)儲存庫中發現了 17 個新的惡意軟體包,故意試圖攻擊和竊取使用者的 Discord 令牌。根據介紹,這些包的有效載荷多種多樣,從資訊程式到完整的遠端存取後門。此外,這些包還具有不同的感染策略,包括域名搶注、依賴混淆和木馬功能。
Discord 是一個流行的數位通訊平臺,擁有超過3.5億註冊使用者,可以通過語音通話、視訊通話、文字訊息和媒體檔案(或其他任意檔案)進行通訊。Discord 令牌是存取 Discord 伺服器的授權碼,實際上是一個使用者憑證。JFrog 安全研究高階主管 Shachar Menashe 和 Andrey Polkovnychenko 在公告中,通過劫持使用者的 Discord 令牌,攻擊者就可以完全控制使用者的 Discord 帳戶。
「這種型別的攻擊如果執行得好,會產生嚴重的影響。而且在這種情況下,公共駭客工具使這種攻擊變得足夠容易,即使是駭客新手也可以執行。」
JFrog 向 npm 程式碼維護者進行了披露,目前這些惡意包已在積累大量的下載量之前從 npm 儲存庫中進行了刪除。
JFrog 方面表示,其最近發現了大量的 Discord 令牌抓取惡意軟體。而鑑於這種攻擊有效載荷的流行,GitHub 上也釋出了很多帶有構建說明的 Discord 令牌抓取器。攻擊者可以利用這些模板之一,開發客製化的惡意軟體,而不需要大量的程式設計技能 —— 這意味著任何新手駭客都可以在幾分鐘內輕鬆做到這一點。
JFrog 指出,其最近已經目睹了通過開源軟體儲存庫託管和交付的一系列惡意軟體。並得出結論稱,PyPI 和 npm 等公共儲存庫已成為惡意軟體分發的便捷工具:儲存庫的伺服器是受信任的資源,與其通訊不會引起任何反病毒或防火牆的懷疑。此外,通過 npm 使用者端等自動化工具輕鬆安裝,提供了一個成熟的攻擊媒介。
JFrog 建議組織採取預防措施並管理他們使用 npm 進行軟體策劃,以降低將惡意程式碼引入其應用程式的風險。