开源再爆雷，NPM JavaScript存储库暗藏后门

近日，Phylum的研究人员在开源NPM JavaScript存储库中发现两个恶意AWS软件包暗藏精心设计的代码，一旦执行，就会在开发者的计算机上植入后门程序。研究人员称恶意软件包存续期间已经被下载了数百次。

这两个软件包分别是img-aws-s3-object-multipart-copy和legacyaws-s3-object-multipart-copy，它们试图冒充合法的JavaScript库aws-s3-object-multipart-copy。

假冒软件包包含了所有合法库中的代码，并添加了一个名为loadformat.js的JavaScript文件。这个文件表面上包含无害的代码和三个JPG图像（分别是英特尔、AMD和微软的公司Logo），但其中一个图像隐藏了恶意代码片段，这些片段被重建后可组成后门程序代码，攻击开发者的设备。

日益复杂的开源供应链攻击

“我们已经报告了这些软件包并要求移除，但这些恶意软件包在npm项目中仍然存在了近两天时间，”发现这些软件包的研究人员写道：“这令人担忧，因为当今大多数系统无法检测并及时报告这些软件包，导致开发者长时间暴露在攻击风险中。”

研究人员表示，绝大多数杀毒软件产品都未能发现隐藏在这两个软件包中的后门。

Phylum的研究主管Ross Bryant在邮件中透露，img-aws-s3-object-multipart-copy在被删除前被下载了134次，另一个文件legacyaws-s3-object-multipart-copy被下载了48次。

这些恶意软件包开发者对代码的精心设计及其策略的有效性，突显了针对上游开源代码库的攻击日益复杂化，除了NPM外，其他热门攻击目标还包括PyPI、GitHub和RubyGems等。

近年来，针对开发者的开源供应链攻击威胁不断恶化。

在过去的17个月里，由朝鲜政府支持的黑客组织曾两次针对开发者，其中一次利用了一个零日漏洞。

近期发现的最具创新性的一种开源后门隐藏方法是今年3月曝光的XZ Utils后门，只差一步进入生产版本中。该后门通过一个五阶段加载器实现，使用了一系列简单但巧妙的技术来隐藏自己。一旦安装，黑客可以管理员权限登录受感染的系统。

策划XZ Utils攻击的黑客组织（或个人）花费了数年时间来开发后门。除了隐蔽方法的复杂性，该组织还投入了大量时间为开源项目编写高质量代码，以赢得其他开发者的信任。

今年5月，Phylum阻止了另一个使用隐写术（将秘密代码嵌入图像中的技术）来植入后门的PyPI软件包攻击活动。

“在过去几年中，发布到开源生态系统的恶意软件包的复杂性和数量显著增加，”Phylum研究人员写道：“毫无疑问，这些攻击是成功的。开发者和企业必须高度警惕所使用的开源库。”

参考链接：