威胁行为者部署恶意的 npm(Node Package Manager,Node.js 包管理器)软件包,以窃取 PayPal 账户凭证并劫持加密货币转账。
Fortinet 公司的研究人员发现了多个针对 PayPal 用户的恶意 npm 软件包。这些软件包是在 3 月初由名为 tommyboy_h1 和 tommyboy_h2 的威胁行为者上传到软件包仓库的,被用于窃取 PayPal 账户凭证以及劫持加密货币转账。
Fortinet 公司发布的分析报告中写道:“使用与 PayPal 相关的名称有助于这些恶意软件包躲避检测,使得攻击者更容易窃取敏感信息。通过在恶意软件包的名称中包含 ‘PayPal’ 字样,比如 oauth2-paypal 和 buttonfactoryserv-
paypal,攻击者还营造出一种虚假的合法性,诱使开发人员安装这些软件包。”“这些代码会收集并泄露系统数据,比如用户名和目录路径,然后这些数据可被用于针对 PayPal 账户发起攻击,或者被出售以用于欺诈目的。”
恶意的 npm 软件包利用预安装钩子来运行隐藏脚本,窃取系统信息,对数据进行混淆处理,并将其泄露到攻击者控制的服务器上,以便用于未来的攻击。
Fortinet 公司的研究人员建议密切留意与 PayPal 相关的虚假软件包,检查网络日志中是否存在异常连接,清除威胁,更新账户凭证,并且在安装软件包时保持谨慎。
tommyboy_h1 和 tommyboy_h2 这两个恶意软件包很可能是由同一攻击者创建的,目的是针对 PayPal 用户。
报告总结道:“tommyboy_h1 和 tommyboy_h2的作者很可能是同一个人,在短时间内发布了多个恶意软件包。我们怀疑是同一作者创建了这些软件包来针对PayPal用户。我们敦促公众在下载软件包时保持谨慎,确保软件包来自可
信赖的来源,以免成为此类攻击的受害者。”
发表评论
您还未登录,请先登录。
登录