5月24日资安业者Phylum侦测到名为glup-debugger-log的可疑NPM套件,该套件搭载2个经过混淆处理的脚本文件,一旦启动,这些文件将会协同运作,最终在所用的电脑部署恶意酬载。截至目前为止,此恶意套件已被下载180次。
研究人员指出,攻击者的目标,主要是针对自动化流程处理工具Gulp.js的用户,声称他们的套件能够保存Gulp及其插件程序事件记录。然而,实际使用后并非如此,一旦有开发人员下载、安装此套件,运行其中的1个脚本play.js,就会成为恶意软件加载工具,检查目标电脑环境是否符合特定条件,然后下载其他恶意软件的组件。
他们根据此套件库的package.json文件进行解析,上述的脚本会检查电脑的网络界面、操作系统类型,但特别的是,黑客还会确认电脑的桌面文件夹至少有7个文件,研究人员推测,这很可能是为了确认电脑是否由真实用户操作的指针。
在通过前述的3项检查后,该脚本就会下载恶意程序,并启动第2个名为play-safe.js的脚本,以便恶意程序能持续在受害电脑上运作。此脚本会创建HTTP服务器,并通过3004端口监听命令并运行。



2024-06-04
