4月底资安业者Securonix揭露而对于这些骇客启动攻击链的方式,研究人员指出,一旦面试者取得对方提供的ZIP压缩档,下达npm install及npm start的命令部署NPM套件,埋藏其中的JavaScript程式码就会执行,启动感染链。虽然攻击流程大致相同,但这次不光针对Windows电脑,也锁定Linux及macOS作业系统,显然影响范围扩大。
骇客并未挑选特定的目标进行攻击,但Securonix看到韩国、北美、欧洲、中东地区都有人受害,显示这波行动影响的国家区域不少。
关于能够攻击开发人员电脑的ZIP档案,内含的档案总共有数十个,大部分都无害,仅JavaScript档案里的恶意程式码具有攻击意图。研究人员特别提及,攻击者在恶意程式码前方加入大量空白而难以透过肉眼察觉,恶意软体分析平台VirusTotal的大部分防毒引擎也将其视为无害。
究竟攻击者使用那些手法混淆恶意内容?研究人员提及,骇客利用Base64演算法处理字串,且直到执行的时候才进行解码;再者,他们使用动态的功能函数及变数的名称,并且将程式码的文字字串拆解成更小的片段,然后在编译的过程才重新拼凑。此外,这些骇客也运用了原型混淆手法,阻碍研究人员解读程式码的用途。
一旦上述的恶意程式码启动,就会先检查受害电脑的作业系统类型,然后与C2进行通讯,并将受害电脑的系统资讯回,最终使用curl下载有效酬载,并透过Python指令码解除混淆并执行。
此恶意酬载不仅会再度侦测完整的系统资讯,也会确认检查受害电脑所在的地理位置,并具备远端存取木马(RAT)的功能,可让攻击者远端执行命令、侧录键盘输入内容、监控剪贴簿,透过FTP进行档案传输,此外,攻击者还能下载其他恶意程式,以便执行进一步的攻击。
值得留意的是,骇客也为该恶意程式加入新的功能,例如,他们滥用远端桌面连线工具AnyDesk,以便持续存取受害电脑。再者,他们透过FTP的延伸功能进行渗透。
若是上述攻击成功,骇客先是针对Chrome的cookie下手,接著进行网路渗透,并下载另一个Python指令码窃取电脑的敏感资料。