发现被木马感染的 jQuery：针对 NPM 的大范围的供应链攻击

资讯 4个月前 admin

156 0 0

Phylum的网络安全研究人员发现了一种针对流行的 JavaScript 库 jQuery 的复杂且持续的供应链攻击。此次攻击自 5 月底开始，通过 npm（节点包管理器）存储库、GitHub 和 jsDelivr 内容分发网络 (CDN) 上的数十个包分发 jQuery 的木马版本。

攻击者巧妙地修改了合法的 jQuery 代码，将恶意代码插入“end”函数中，该函数是 jQuery 原型的一部分，通常会被其他常用函数（如“fadeTo”）间接调用。这种微妙的改变使攻击者能够从使用受感染 jQuery 版本的网站窃取敏感的表单数据。

此次攻击的范围值得关注，恶意的jQuery 变体遍布多个平台，并且以各种软件包名称存在。攻击者还采用了多种策略，包括混淆、误导性版本警告以及使用合法的 CDN 来掩盖其恶意活动。

虽然此次攻击的具体目标尚不清楚，但木马程序包的广泛传播表明，对不知情地纳入恶意代码的开发人员和网站可能会产生广泛影响。受影响程序包看似随机，再加上恶意软件的复杂性质，令人怀疑攻击者的动机和能力。

鉴于此次攻击仍在持续，我们敦促开发人员和网站所有者在从 npm 或其他来源安装 jQuery 软件包时务必谨慎。验证软件包的真实性，仔细检查代码是否有任何可疑的修改，并考虑使用可以检测和缓解供应链攻击的安全工具。

此次攻击活动中相关的npm包

发布时间	名称	版本
2024-06-23	icnes	8.0.0
2024-06-23	stylesyosx	9.0.3
2024-06-22	imagegs	1.0.0
2024-06-22	yorz	3.0.0
2024-06-21	kurxjy	9.0.0
2024-06-20	kinthailxzz	1.0.0
2024-06-19	ganz	2.0.1
2024-06-19	kikos	1.0.0
2024-06-17	rgmedia	3.7.2
2024-06-17	rgmedia21	3.7.3
2024-06-17	ngentot	3.7.1
2024-06-17	mediaa	2.0.0
2024-06-16	jquerrty	3.0.0
2024-06-16	styyle	3.0.0
2024-06-16	my-gh	8.0.1
2024-06-16	sytlesheets	3.0.0
2024-06-16	stylessheet	3.0.0
2024-06-15	styleshteks	2.0.0
2024-06-15	fontawessome	9.0.1
2024-06-15	fontawesom-1	9.0.1
2024-06-14	nesiahanzz	1.0.0
2024-06-14	dsiailon	1.0.0
2024-06-14	footersicons	3.0.0
2024-06-14	footericonss	3.6.0
2024-06-14	footericonds	3.7.1
2024-06-14	fontawesome-3	2.0.0
2024-06-14	fontawesom-4	2.0.0
2024-06-13	jquertyi	3.6.4
2024-06-13	fontawesome-2	9.0.1
2024-06-13	stylishteksz	2.0.0
2024-06-13	stylescss	9.0.1
2024-06-12	dsiain	1.0.0
2024-06-11	logoo	2.0.0
2024-06-11	stylishhteks	2.0.1
2024-06-10	imagezz	1.0.0
2024-06-10	stylishtekss	3.0.0
2024-06-10	stylesheeet	9.0.1
2024-06-09	dnuhstng	2.0.0
2024-06-09	stylishteks	2.0.0
2024-06-09	mobiletrack	9.0.0
2024-06-09	fontaway	9.0.0
2024-06-08	sttylee	9.0.1
2024-06-06	kontolq	9.0.1
2024-06-06	kimakq	9.0.1
2024-06-05	awokkdyaa	9.0.1
2024-06-05	vxcs	9.0.1
2024-06-05	kimakz	9.0.1
2024-06-05	xhyp	9.0.1
2024-06-05	xytta	1.0.0
2024-06-05	livinjs	1.0.0
2024-06-04	fontawesome-1	9.0.0
2024-06-04	fontwesome	9.0.0
2024-06-04	footricon	9.0.0
2024-06-04	bootstrapcloud	1.3.3
2024-06-04	flammerxdjson	9.0.1
2024-06-04	ajexx	9.0.0
2024-06-04	komcay	9.0.1
2024-06-04	ajex	9.0.1
2024-06-04	komcaxx	9.0.2
2024-06-04	komcaxx	9.0.1
2024-06-03	komcax	9.0.0
2024-06-03	cloudhosting	7.13.0
2024-06-02	cloudhost	7.13.0
2024-06-02	bootrun	3.9.7
2024-06-02	xxxtesting	1.2.0
2024-06-02	bootstar	9.4.8
2024-06-02	jqueryxxx	1.0.0
2024-05-26	cdnjquery	9.0.1

此次攻击活动中使用的域名

https://paneljs[.]hanznesia[.]my[.]id
https://api-web-vrip[.]hanznesia[.]my[.]id
https://log[.]apisystem[.]engineer
https://irisainginbos[.]icikipoxx[.]pw
https://patipride[.]icikipoxx[.]pw
https://apii[.]fukaes[.]ninja
https://pukil[.]dannew[.]biz[.]id
https://api[.]jstyy[.]xyz
https://qxue[.]biz[.]id
https://api[.]newrxl[.]online
https://api[.]iimg[.]my[.]id
https://apiweb[.]eventtss[.]my[.]id
https://pokemon[.]denii[.]biz[.]id
https://apii[.]codatuys[.]cab
https://api[.]codatuys[.]biz[.]id
https://saystem[.]ditzzultimate[.]xyz
https://paneljs[.]dimashost[.]xyz
https://cssimage[.]dimashost[.]xyz
https://ajax[.]failexpect[.]biz[.]id
https://ns[.]api-system[.]engineer
https://log[.]systems-alexhost[.]xyz
https://api-system[.]engineer
https://systems-alexhost[.]xyz
https://panel[.]api-bo[.]my[.]id
https://project[.]systemgoods[.]me
https://danu[.]eventtss[.]my[.]id
https://panel-host[.]clannesia[.]com
http://apii-pandawara[.]ganznesia[.]my[.]id
https://system-alexhosting[.]biz[.]id
https://nd[.]api-system[.]engineer
https://anti-spam[.]truex[.]biz[.]id
https://panel-host[.]dmdpanel[.]my[.]id
https://api-bo[.]my[.]id