NPM 和 PyPI 包裹被滥用以实施数据盗窃

关键要点

• 事件概述 ：45个恶意的 NPM 和 PyPI 包被使用，导致大规模的数据盗窃。
• 攻击时间 ：这一攻击活动开始于9月12日，并通过多次攻击波展开。
• 包内容 ：早期的包具有基本的数据收集和外泄能力，而后期的包则更加复杂。
• 信息窃取 ：所窃取的信息包括主机名、用户名、IP地址和操作系统版本等。

根据 的报道，威胁行为者在9月12日开始的一项攻击活动中，部署了45个恶意的 NPM 和 PyPI包，以便于进行大规模的数据盗窃操作。最初由Sonatype研究人员发现的这一攻击活动，分为七轮以上的攻击波，Phylum的报告显示，第一轮攻击从9月12日到15日间发送了33个恶意包。

在第一波攻击中，这些包具有硬编码的数据收集和外泄能力，而在后来的包中则发现了更复杂的功能和逃避分析的特性。研究人员指出，这些包允许攻击者外泄主机名、用户名、外部和内部IP地址、操作系统版本以及其他机器和用户的信息。这些信息可能被恶意行为者利用，以暴露开发者身份、上传恶意容器、获取敏感信息，甚至可能引发勒索软件攻击。

影响与后果

在这种情况下，开发者和用户都应提高警惕，定期监控其依赖包的安全性，并采取必要的预防措施，避免遭受此类攻击。