Checkmarx 安全研究团队最近发布报告，披露了一起针对NPM生态系统的复杂供应链攻击。其中涉及一款恶意包 jest-fet-mock，它利用以太坊智能合约管理C2基础设施。该恶意软件针对 Windows、Linux 和 macOS 系统，表明了供应链攻击尤其是开发者环境中的一种新的复杂情况。

该攻击最值得关注的一个方面是使用以太坊智能合约进行C2运营。从传统来讲，恶意软件依赖硬编码服务器或域名进行C2通信，使防御人员更容易拿下该基础设施。然而，通过集成区块链技术，攻击者获得了实际上不可触及的C2设置。

报告中提到，“该攻击最显著的方面是它如何将以太坊区块链用于C2基础设施。当执行时，该恶意软件与智能合约进行交互，检索其C2服务器地址。”

该方法为攻击者提供了一种灵活且有弹性的基础设施。仅通过更新智能合约中的C2地址，攻击者就能将所有受感染系统重定向到新的服务器，而无需修改恶意软件本身，从而实现可持续控制和适应性。

攻击者使用的是typosquatted 程序包 jest-fet-mock。它是对两个热门测试工具 fetch-mock-jest和jest-fetch-mock 的模仿，而后者供 JavaScript 开发人员模拟 HTTP 请求。报告提到，jest-fet-mock 是在更大范围针对NPM生态系统攻击活动中识别的首个程序包。通过伪装成熟悉的工具，攻击者提高了开发人员安装该恶意软件的可能性。

该恶意包利用在安装过程中执行的预安装脚本，判断主机OS并为每个平台下载合适的payload。值得注意的是，攻击者为每个OS都开发出唯一的恶意软件变体，“跨平台恶意软件针对 Windows、Linux 和 macOS 开发环境”。

每个变体都包括与其环境相匹配的能力，如系统侦查、凭据盗取和持久性机制。该跨平台策略强调了攻击者专注于攻陷包括CI/CD管道在内的多种开发环境。

攻击者通过在NPM生态系统中攻击工具的方式，获得对关键开发基础设施的持久访问权限。不仅单个开发者系统处于风险之中，受陷的CI/CD管道也可在组织机构的软件产品和更新中引发一系列感染。

Jest-fet-mock 的发现只是开始。涉及其它程序包的攻击活动还在进行中。报告总结道，“这一案例在提醒开发团队对程序包管理进行严格的安全控制和仔细验证测试工具真实性方面，发挥了重要作用。”

奇安信代码卫士 (codesafe)

国内首个专注于软件开发安全的产品线。

    觉得不错，就点个 “在看” 或 "赞” 吧~