在不同的目标事件中,威胁行为者试图将恶意软件上传到Node Package Manager注册表中,以获得访问权限并窃取凭证。
在两起独立的事件中,威胁参与者最近试图通过节点包管理器(npm)注册表上的中毒包将恶意软件引入两家不同银行的软件开发环境。
观察到这些攻击的Checkmarx研究人员认为,这是攻击者首次通过开源软件供应链攻击银行。在本周的一份报告中,该供应商将这两起攻击描述为他们最近观察到的更大趋势的一部分,银行已成为具体目标。
Checkmarx表示:“这些攻击展示了先进的技术,包括通过附加恶意功能来瞄准受害银行Web资产中的特定组件。”
该供应商在报告中强调了4月份的一次攻击。在这起事件中,一名威胁行为者冒充目标银行的员工,向npm注册表上传了两个恶意软件包。
Checkmarx的研究人员在领英(LinkedIn)的个人资料中发现,该软件包的贡献者在目标银行工作,并最初认为这些软件包是该银行正在进行的渗透测试的一部分。
这两个npm包包含一个预安装脚本,该脚本在被攻破的系统上安装时执行。攻击链展开时,脚本首先识别主机系统的操作系统。
然后,根据操作系统是Windows、Linux还是MacOS,脚本对npm包中相应的加密文件进行解密。攻击链继续通过解密文件从攻击者控制的指挥与控制(C2)服务器下载第二阶段有效载荷。
Checkmarx说:“攻击者巧妙地利用了Azure的CDN子域来有效地传递第二阶段的有效载荷。这种策略特别聪明,因为它绕过了传统的拒绝列表方法,因为Azure是合法服务。为了使攻击更加可信和难以检测,威胁参与者使用了包含目标银行名称的子域。“
Checkmarx的研究表明,第二阶段的有效载荷是浩劫框架,这是一个流行的开源渗透测试框架,组织经常使用它进行安全测试和审计。Checkmarx表示,由于能够逃避Windows Defender和其他标准端点安全控制,浩劫已经成为一种流行的攻击后工具。
Checkmarx的安全研究员阿维德•格尔森(Aviad Gershon)在接受采访时表示:“部署浩劫框架将使攻击者能够访问银行网络中受感染的机器。从那时起,后果将取决于银行的防御以及攻击者的能力和目的,如数据盗窃、资金盗窃、勒索软件等。”
