骇客上架有问题的NPM套件的攻击活动不时传出,但最近出现新的手法引起了研究人员的注意,因为这种恶意套件的作案手法与众不同,即使开发人员察觉中招、将恶意套件移除,也无法完全清理相关威胁。
资安业者ReversingLab揭露恶意NPM套件ethers-provider2、ethers-providerz,这两个套件的主要功能是恶意程式下载工具,并隐藏其有效酬载,而且,在攻击链的第二阶段,骇客竟然「修补」了合法的套件ethers,但实际上,他们在这个套件里植入反向Shell。
ReversingLab提及第2阶段恶意软体相当特别,它会以无限循环的方式检查电脑是否安装名为ethers的套件,假若电脑存在该套件,恶意软体就会窜改其中的provider-jsonrpc.js元件,使得ethers执行的时候,会从恶意网域下载第3阶段的恶意软体。
3年前资安人员mr.d0x揭露一种名为Browser-in-the-Browser(BitB)的攻击手法,骇客在网页上制作几可乱真的浏览器视窗介面,企图引诱使用者上当,依照指示进行操作输入帐密,如今类似的攻击行动再度出现。
资安业者Silent Push发现新一波的BitB网路钓鱼攻击行动,骇客锁定绝对武力2(Counter-Strike 2,CS2)的玩家而来,意图借此窃取他们的Steam帐号。比较特别的是,骇客为了取信玩家,他们还滥用专业电竞团队Navi的名号。
这些钓鱼网站打著Navi的名号,声称提供免费道具箱(Free Case)给玩家。一旦玩家依照指示点选想要的道具箱内容,网站就会显示Steam登入视窗。值得留意的是,虽然这个登入介面看起来像是弹出式视窗,但实际上,这是骇客运用了BitB手法,建置于钓鱼网页里面的假视窗,若是玩家输入帐密资料,骇客就会挟持他们的Steam帐号。为了引诱更多玩家上当,骇客也冒用Navi电竞选手的名号,透过YouTube散布钓鱼网站的资讯。
资安业者CrowdStrike发布2025年的全球威胁报告(2025 Global Threat Report),揭露2024年的全球网路攻击趋势,发现有高达79%的攻击行动已不再仰赖恶意程式,骇客成功入侵的平均时间缩短至48分钟,去年下半年的语音网钓攻击成长442%,而且来自中国骇客的攻击行动增加了150%。
在2019年时,恶意软体还是骇客入侵系统的主要途径,非恶意软体(Malware-free)攻击只占了40%,5年后,于2024年的调查中发现,Malware-free攻击比重成长至79%,骇客更倾向于借由窃取身分与凭证、利用合法软体、攻击安全漏洞,或者是社交攻击来渗透目标对象。
其他攻击与威胁
【漏洞与修补】
【资安产业动态】
继今年1月释出开源的软体成分分析工具OSV-SCALIBR后,Goolge在3月中发布新版弱点扫描工具OSV-Scanner 2.0,内建了OSV-SCALIBR软体组成分析功能,可以支援更多种相依档案格式来剖析元件之间的关联,包括.NET、Python、JavaScript、Node模组、Hasker、Java和Go语言的相依档。
新版也大幅提升了容器映像档的弱点扫描能力,可以扫描Debian、Ubuntu和Alpie等Linux的容器映像档,可以分层剖析出有潜在弱点的元件,完整的分层指令和脉络,还可以排除不会造成太大影响的漏洞,揭露作业系统细节等,可以支援Go、Java、Node和Python语言。另外还可以产生互动式的HTML分析报告,更清楚、完整地呈现容器扫描结果。