關(guān)鍵詞

惡意軟件

安全研究人員最近識(shí)別出兩個(gè) npm 軟件包，其行為遠(yuǎn)超表面聲明。它們偽裝成系統(tǒng)監(jiān)控與數(shù)據(jù)同步工具，實(shí)則暗藏破壞性后門，一旦觸發(fā)，可遠(yuǎn)程擦除開發(fā)者整個(gè)應(yīng)用的所有文件。

據(jù)安全公司 Socket 威脅研究團(tuán)隊(duì)披露，這兩個(gè)惡意軟件包分別是express-api-sync和system-health-sync-api，均由 npm 賬戶“botsailer”發(fā)布。盡管名稱聽上去毫無威脅，背后隱藏的代碼卻揭示了極具危險(xiǎn)的意圖。

根據(jù)該公司向 Hackread.com 分享的技術(shù)報(bào)告，express-api-sync表面上是一個(gè)用于數(shù)據(jù)庫同步的工具，實(shí)際上卻會(huì)在任何引入它的 Express 應(yīng)用中注入一個(gè)隱藏的 HTTP POST 接口/api/this/that。該接口在接收到預(yù)設(shè)密鑰 “DEFAULT_123” 時(shí)，會(huì)立即執(zhí)行 Unix 命令rm -rf *，直接刪除當(dāng)前目錄下的所有文件，包括源代碼、配置文件、用戶上傳內(nèi)容及本地?cái)?shù)據(jù)庫等。

這一攻擊過程完全靜默，無日志、無控制臺(tái)輸出，并且由于使用了空的錯(cuò)誤處理邏輯，即使路由注冊(cè)失敗也不會(huì)有任何提示。絕大多數(shù)開發(fā)者在系統(tǒng)被徹底破壞之前可能毫無察覺。

相比之下，system-health-sync-api的破壞力更強(qiáng)。它構(gòu)建得更像一個(gè)真正的系統(tǒng)監(jiān)控工具，擁有完整的健康檢查機(jī)制、SMTP 郵件功能，甚至支持 Express、Fastify 和原生 HTTP 服務(wù)。但在背后，它會(huì)收集服務(wù)器信息（包括主機(jī)名、IP、進(jìn)程ID和環(huán)境摘要），并通過電子郵件發(fā)送至一個(gè)硬編碼地址：anupm019@gmailcom。與此同時(shí)，它還會(huì)記錄后端 URL 地址，幫助攻擊者繪制服務(wù)器架構(gòu)圖。

該包還實(shí)現(xiàn)了跨平臺(tái)的文件刪除能力：對(duì)于 Unix 系統(tǒng)執(zhí)行rm -rf *，對(duì)于 Windows 系統(tǒng)則執(zhí)行rd /s /q .，這一命令不僅刪除文件，還會(huì)清空當(dāng)前目錄。更令人擔(dān)憂的是，該后門可通過兩個(gè) POST 接口（/_/system/health與/_/sys/maintenance）遠(yuǎn)程觸發(fā)，均需配合密鑰 “HelloWorld”。表面上這些配置是可自定義的，但默認(rèn)值保證了攻擊者即使開發(fā)者未作任何修改也能順利控制。

郵件服務(wù)同時(shí)作為遠(yuǎn)程指令通道：SMTP 憑證雖然被 Base64 編碼隱藏在程序中，但極易解碼。一旦系統(tǒng)啟動(dòng)，惡意包會(huì)嘗試連接郵件服務(wù)器，驗(yàn)證攻擊者控制通道是否在線。

攻擊流程在后臺(tái)悄然展開：首先是通過 GET 請(qǐng)求偵察接口/_/system/health返回系統(tǒng)信息；隨后可選進(jìn)行“試運(yùn)行”，以測試目標(biāo)是否可控；緊接著是破壞性執(zhí)行，即 POST 請(qǐng)求加密鑰觸發(fā)全盤刪除；最后將詳細(xì)的服務(wù)器指紋信息和后端路徑通過郵件發(fā)回攻擊者。該惡意包甚至?xí)鶕?jù)密鑰是否正確返回不同提示，協(xié)助攻擊者確認(rèn)是否成功控制目標(biāo)。

不同于傳統(tǒng)的供應(yīng)鏈攻擊通常以數(shù)據(jù)竊取或挖礦為目標(biāo)，這兩個(gè) npm 包更傾向于徹底破壞，說明攻擊者的動(dòng)機(jī)從經(jīng)濟(jì)利益轉(zhuǎn)向破壞系統(tǒng)、收集基礎(chǔ)設(shè)施情報(bào)、甚至可能用于行業(yè)破壞或地緣競爭行為。他們構(gòu)建的工具可以長時(shí)間潛伏，靜默收集信息，在毫無預(yù)警的情況下發(fā)起攻擊。

中間件機(jī)制的使用進(jìn)一步加劇了風(fēng)險(xiǎn)。中間件代碼在每次請(qǐng)求中都會(huì)運(yùn)行，通常擁有應(yīng)用內(nèi)部的全部訪問權(quán)限。這些惡意包正是利用這一點(diǎn)，悄然嵌入具備完全摧毀能力的路由，極具欺騙性。

Saviynt 公司首席信任官 Jim Routh 就此發(fā)表評(píng)論稱：“這是一起典型的軟件供應(yīng)鏈攻擊，攻擊者精心設(shè)計(jì)偽裝，將惡意后門嵌入看似正常的工具中。一旦這些代碼被嵌入企業(yè)系統(tǒng)，惡意功能即可遠(yuǎn)程激活。企業(yè)應(yīng)優(yōu)先提升對(duì)軟件構(gòu)建流程的身份訪問管理，包括對(duì)所有員工與承包方的權(quán)限控制。”

安全專家建議，開發(fā)與運(yùn)維團(tuán)隊(duì)?wèi)?yīng)立即檢查所使用的第三方依賴包，采用具備行為檢測功能的掃描工具識(shí)別潛在風(fēng)險(xiǎn)，而不僅僅依賴于靜態(tài)代碼分析。傳統(tǒng)的安全掃描工具可能無法捕捉這些運(yùn)行時(shí)行為威脅。

安全圈

網(wǎng)羅圈內(nèi)熱點(diǎn) 專注網(wǎng)絡(luò)安全

實(shí)時(shí)資訊一手掌握！

好看你就分享 有用就點(diǎn)個(gè)贊

支持「安全圈」就點(diǎn)個(gè)三連吧！