NPM 和 PyPI 包裹被滥用以实施数据盗窃

关键要点

事件概述：45个恶意的 NPM 和 PyPI 包被使用，导致大规模的数据盗窃。攻击时间：这一攻击活动开始于9月12日，并通过多次攻击波展开。包内容：早期的包具有基本的数据收集和外泄能力，而后期的包则更加复杂。信息窃取：所窃取的信息包括主机名、用户名、IP地址和操作系统版本等。

根据 BleepingComputer 的报道，威胁行为者在9月12日开始的一项攻击活动中，部署了45个恶意的 NPM 和 PyPI 包，以便于进行大规模的数据盗窃操作。最初由Sonatype研究人员发现的这一攻击活动，分为七轮以上的攻击波，Phylum的报告显示，第一轮攻击从9月12日到15日间发送了33个恶意包。

一元机场梯子

在第一波攻击中，这些包具有硬编码的数据收集和外泄能力，而在后来的包中则发现了更复杂的功能和逃避分析的特性。研究人员指出，这些包允许攻击者外泄主机名、用户名、外部和内部IP地址、操作系统版本以及其他机器和用户的信息。这些信息可能被恶意行为者利用，以暴露开发者身份、上传恶意容器、获取敏感信息，甚至可能引发勒索软件攻击。

影响与后果

影响详细信息数据外泄包含主机名、用户名、IP地址及更多机器信息身份暴露攻击者能够识别并暴露开发者的身份恶意软件上传可上传恶意容器以扩展攻击范围勒索软件攻击的可能性窃取的信息可用于实施勒索软件攻击

在这种情况下，开发者和用户都应提高警惕，定期监控其依赖包的安全性，并采取必要的预防措施，避免遭受此类攻击。