研究职员在npm组件中发现Linux恶意软件

星宇心空

原标题：研究职员在npm组件中发现Linux恶意软件

喜好就 关注我们吧！

文 | Travis

出品 | OSC开源社区（ID：oschina2013）

本周 Sonatype 安全研究团队通过 Sonatype 的主动恶意软件检测体系 Release Integrity 在 npm 注册表中发现了一个新的恶意组件，经太过析，研究团队确认该恶意组件的目的是利用 Linux 和 macOS 操纵体系的 NodeJS 开辟者。

该恶意组件名为"web-browserify"，在名称上模拟了着名的 Browserify npm 组件，而 Browserify 组件每周下载量凌驾 130 万次，被近 36 万个 GitHub 堆栈所利用，现在已被开辟者下载了凌驾 1.6 亿次。

相比之下，恶意组件"web-browserify"的下载量只有 50 次，现在该组件已从 npm 中移除，间隔其发布仅已往了两天时间。

“web-browserify” 自己是由数百个正当的开源组件组合而成，并在受感染的体系上举行广泛的侦探运动。停止现在，该组件所包罗的 ELF 恶意软件在全部领先的反病毒引擎中的检测率为零。

"web-browserify" 是由一个自称是 Steve Jobs （史蒂夫乔布斯）的作者所创建的。

该包由一个 manifest 文件、package.json、postinstall.js 脚本和一个名为"run" 的 ELF 可实行文件构成，并归档在 npm 组件的 run.tar.xz 中。

睁开全文

一旦开辟者不警惕安装了"web-browserify"，脚本就会从归档文件中提取并启动 "run" Linux 二进制文件，该文件会向用户哀求提权或 root 权限。

提取出来的 "run" 二进制文件约莫有 120MB 巨细，固然此中捆绑了数百个正当的开源 npm 组件，但这些组件会被用于举行恶意运动。

比方，此中一个组件是跨平台的 "sudo-prompt"模块，该模块会被用来向用户发出提示，寻求用户在 macOS 和 Linux 上授予 root 权限。

由于在安装 "web-browserify" 的同时就会要求提拔权限，在此过程中开辟者大概会被误导，以为是正当的安装步伐运动必要提拔权限。一旦 ELF 得到了权限，它就会在体系中得到长期性，并将本身复制到 /etc/rot1目次中，随后在每次启动时从主动运行。

“web-browserify” 会从被感染的体系中网络以下信息：

• 体系用户名；
• 操纵体系信息，如制造商/品牌；
• 关于 Docker 镜像的信息；
• 蓝牙毗连的装备信息；
• 体系上存在的假造机，或是否启用了假造化；
• CPU速率、型号和焦点数；
• 内存巨细、硬盘容量、磁盘结构、体系架构；
• 关于网卡/接口、电池、WiFi、USB 装备等硬件信息。

这些信息中至少有一部门是作为 GET 参数，通过明文(HTTP)毗连传送至攻击者的服务器中。

病毒总检测率为零

该恶意软件在 VirusTotal 上的评分为零，这大概是由于该恶意软件全部运动都是通过利用正当的开源组件举行所导致的，因此现在还没有杀毒引擎可以或许标志该样本。

汗青性突破！龙芯重磅推出自主指令体系架构LoongArch 2021-04-15

炸了，开源社区应该用中文吗？ 2021-04-14

Linux内核开辟者开始关于Rust的新一轮讨论 2021-04-15

以为不错，请点个在看呀返回搜狐，检察更多

责任编辑：