IT之家 6 月 10 日消息,近年来黑客入侵开发团队账号并冒用他们身份散步恶意软件包的事件屡见不鲜,参考安全公司 Aikido Security 通报,有黑客在 6 月 6 日盗用 React Native、GlueStack 项目维护人员的身份凭证(Token),在 NPM 平台上传了 16 个带有恶意代码的软件包,相应软件包下载量据称“每周超过一百万次”,影响范围较为广泛。
▲ 影响的软件包列表
根据安全公司分析,其中最早被篡改的 NPM 软件包为 @react-native-aria / focus。黑客在其 lib / commonjs / index.js 文件第 46 行植入了恶意代码。为了逃避安全检测,黑客采用了大量空白字符进行混淆处理,使得这些恶意内容在代码显示上几乎不可见。研究人员进一步确认,该恶意代码是曾被用于另一软件包 rand-user-agent 的远程访问木马(RAT)。
值得一提的是,本次木马程序与以往收集到的实例相比,在功能上出现了明显差异。最大的变化是其“进化”引入了备用的 C2(命令与控制)服务器机制,可根据代码版本切换通信地址;此外,新版本木马还具备收集被感染设备系统信息的能力,能够向指定 IP 地址发送数据请求并回传敏感信息。
