npm供应链遭域名抢注攻击，恶意软件瞄准开发职员

首页 > 清静研究 > 清静转达 > 清静简讯

npm供应链遭域名抢注攻击，恶意软件瞄准开发职员

宣布时间 2024-11-07

1.npm供应链遭域名抢注攻击，恶意软件瞄准开发职员

11月5日，一场针对开发职员的域名抢注运动正在通过数百个盛行的JavaScript库（每周下载量达数万万次）撒播恶意软件，以窃取和监视信息。该npm供应链攻击似乎起源于10月份，多家清静机构已发出警报。攻击者宣布看似正当的恶意npm包，名称与正当包相似但略有差别，诱骗开发职员装置，从而获得对其机械的长期会见权限。这些恶意包使用以太坊智能合约举行下令和控制（C2）操作，使古板C2阻止要领失效，增添了恶意软件分发运动的隐藏性。Socket和Phylum的清静研究职员在万圣节时代发出忠言，指身世份不明的恶意分子正在使用伪装成Puppeteer、Bignum.js和种种加密钱币库的域名抢注包（共287个包）举行攻击。Checkmarx也宣布了类似忠言，指出恶意软件“jest-fet-mock”旨在冒充正当的JavaScript测试适用程序。Checkmarx发明，恶意软件在装置后会执行系统侦探，凭证主机操作系统下载适当的有用负载，窃取凭证并建设长期性。

https://www.theregister.com/2024/11/05/typosquatting_npm_campaign/

2. Winos4.0框架：黑客使用游戏应用瞄准Windows用户举行恶意攻击

11月6日，黑客近期频仍使用恶意的Winos4.0框架攻击Windows用户，该框架通过伪装成无害的游戏相关应用程序举行撒播。据趋势科技今夏宣布的报告，一个名为Void Arachne/Silver Fox的威胁行为者曾使用修改并捆绑恶意组件的软件（如VPN和谷歌Chrome浏览器）针对中国市场。现网络清静公司Fortinet发明，黑客运动已演变，继续依赖游戏和游戏相关文件攻击中国用户。当执行伪装成正当的装置程序时，它们会从特定网址下载DLL文件，启动多办法熏染历程。这包括下载其他文件、设置执行情形、建设长期性、加载API、检索设置数据、建设与C2服务器的毗连等。最终，加载的登录�？橹葱兄饕褚獠僮�，如网络系统信息、检查清静软件、网络加密钱币钱包数据、维持与C2服务器的毗连，以及截屏、监视剪贴板转变和窃取文件。Winos4.0还能检查多种清静工具历程，以确定是否在受监控情形中运行，并调解行为。该框架功效强盛，类似Cobalt Strike和Sliver，且新运动的泛起批注其在恶意操作中的作用已牢靠。

https://www.bleepingcomputer.com/news/security/hackers-increasingly-use-winos40-post-exploitation-kit-in-attacks/

3.VEILDrive威胁运动：使用微软SaaS服务举行网络垂纶与恶意软件安排

11月6日，一项名为VEILDrive的一连威胁运动被发明使用微软的正当服务，如Teams、SharePoint、Quick Assist和OneDrive，举行鱼叉式网络垂纶攻击并分发恶意软件。以色列网络清静公司Hunters在视察一起针对美国要害基础设施组织的网络事务时发明了这一运动。攻击者冒充IT团队成员，通过Teams新闻和快速助手工具请求远程会见系统，并使用之前受到攻击的组织的可信基础设施来分发攻击。他们通过SharePoint分享了一个指向托管在差别租户上的ZIP存档文件的下载链接，该存档中嵌入了远程会见工具LiteManager。然后，通过快速助手获得的远程会见权限，在系统上建设了按期执行LiteManager的妄想使命�；瓜略亓说诙鯶IP文件，其中包括基于Java的恶意软件和整个Java开发工具包。该恶意软件使用硬编码的凭证毗连到敌手控制的OneDrive帐户，并将其用作下令和控制服务器，以在受熏染的系统上获取和执行PowerShell下令。这种依赖SaaS的战略使实时检测变得重大，并绕过了古板防御步伐。

https://thehackernews.com/2024/11/veildrive-attack-exploits-microsoft.html

4.华盛顿州法院系统遭网络攻击瘫痪，紧迫恢复中

11月6日，自周日官员发明网络保存“未经授权的运动”以来，华盛顿州各地的法院系统陷入瘫痪，所有州法院的司法信息系统、网站及相关服务均受一连影响。据《西雅图时报》报道，法院治理办公室（AOC）已迅速行动，确保要害系统清静并起劲恢复服务。AOC副主任温迪·费雷尔体现，出于清静思量，系统已自动关闭，并与专家相助昼夜恢复。部分市法院和地区法院仍在提供有限服务，而皮尔斯县高等法院书记员办公室虽服务中止，但仍可举行在线会见，并正起劲恢复服务。预计法院基本职能和诉讼程序将按妄想举行，客户服务柜台开放，但建议提前确认服务可用性。同时，部分服务如讯断/�？钣喽钚畔⒑偷缱臃ㄍゼ吐妓阉髟谄ざ瓜胤ㄔ夯指辞霸莶豢捎�。类似事务曾在堪萨斯州爆发，2023年10月中旬，其法院治理局网络遭入侵，黑客窃取敏感文件，具有勒索软件攻击迹象，迫使司法部分关闭多个信息系统。

https://www.bleepingcomputer.com/news/security/washington-courts-systems-offline-following-weekend-cyberattack/

5.SteelFox恶意软件：使用易受攻击驱下手艺窃守信息与挖掘加密钱币

11月6日，名为“SteelFox”的新恶意软件使用“自带易受攻击的驱动程序”手艺获取Windows系统权限，以挖掘加密钱币并窃守信用卡数据等信息。该软件通过论坛和种子追踪器以破解工具的形式分发，可激活多种软件的正当版本�？ò退够芯恐霸庇�8月发明该攻击运动，但恶意软件自2023年2月已保存，并通过多种渠道增添了撒播。SteelFox使用易受攻击的驱动程序提升权限，建设服务并使用误差将权限提升到最高级别。该恶意软件还用于加密钱币挖掘，并激活信息窃取组件，从网络浏览器中提取数据。只管C2域是硬编码的，但威胁行为者通过切换IP地点和使用Google公共DNS和DoH隐藏其位置。SteelFox攻击没有特定目的，但主要针对AutoCAD、JetBrains和Foxit PDF Editor的用户，已熏染多个国家的系统。

https://www.bleepingcomputer.com/news/security/new-steelfox-malware-hijacks-windows-pcs-using-vulnerable-driver/

6.SelectBlinds网站遭黑客攻击，20万主顾信用卡信息被盗

11月7日，黑客在大型零售商SelectBlinds的网站上植入了恶意软件，导致20多万主顾的信用卡信息和其他数据被盗。该恶意软件至少从1月7日就已保存，于9月28日被员工发明。除了登录信息，黑客还可能获取了主顾的姓名、电子邮件、送货和账单地点、电话号码以及支付卡号、有用期和清静/CVV代码。为了迫使用户更改密码，SelectBlinds已锁定用户账户并删除了恶意软件，同时忠言在其他网站上重复使用相同登录信息的人应连忙更改密码。黑客使用电子盗刷器窃守信用卡信息已成为恒久保存的问题，他们通过向易受攻击的网站注入恶意代码来捕获敏感数据，并将这些信息出售给信用卡诓骗机构。据Recorded Future在上个月的一份报告中称，黑客在暗网信用卡市肆中宣布了1500万条信用卡纪录以供出售。

https://therecord.media/selectblinds-customers-credit-card-info-data-breach-website-malware

7*24小时服务热线

400-624-3900

+86(10)56631988(港澳专线)

官方微信

官方微博

网御星云合众数据书生电子云子可信

执法声明

尊龙凯时

网络清静防护

网络清静检测

应用清静

数据清静

清静治理

云清静

工控清静

移动及终端清静

密码应用清静

大模子应用清静

专业清静服务

清静运营中心

知白学院

威胁情报中心

清静转达

研究报告

清静团队

渠道系统

售后服务

升级通告

软件升级

公司概况

新闻动态

手艺专题

人才招聘

投资者关系

资源中心

联系尊龙凯时

清静研究