安全研究员发现大量可疑包被发布在注册表中，收割以太坊密钥并通过SSH协议来获得对设备的远程访问权限。

Phylum 公司的研究人员在上周发布的分析报告中提到，这些包试图“通过在根用户的 authorized_keys 文件中写入攻击者的SSH公钥，获得对受害者设备的SSH访问权限。”

这些恶意包的目的是模拟合法的 ethers 包，如下：

其中一些包（多数由账户名为 “crstianokavic” 和 “timyorks” 发布）被指是为了进行测试，因为它们内含最少得变化。最新和最完整的包是 ethers-mew。这并非npm注册表中首次出现具有类似功能的恶意包。2023年8月，Phylum 公司详述了名为 “ethereum-cryptographyy” 的包，它伪装成一个热门密币库，将用户私钥通过引入恶意依赖进行提取。而最新的攻击方式略有不同，恶意代码被直接嵌入这些包中，使威胁行动者将以太坊私钥嗅探到受控制的域 “ether-sign[.]com” 中。而这种攻击的隐秘之处在于，它要求开发人员在代码中真实使用该包，如使用导入的包创建新的钱包实例。

另外，ethers-mew 包还能够修改 "/root/.ssh/authorized_keys" 文件，增加受攻击者控制的SSH密钥并使它们能够永久远程访问受陷的主机。研究人员表示，“所有这些程序包，加上作者的账户，只持续了非常短暂的时间，似乎是由作者移除了。”

奇安信代码卫士 (codesafe)

国内首个专注于软件开发安全的产品线。

    觉得不错，就点个 “在看” 或 "赞” 吧~