新兴应用程式安全测试OAST机制遭滥用,骇客借此散布恶意NPM、PyPI、RubyGems套件

骇客将资安工具用于从事网路攻击的情况不时传出,其中最常出现的是渗透测试工具Cobalt Strike,后来也有滥用

资安业者Socket过去一年虽然OAST原本的立意良善,但也成为攻击者滥用的标的。研究人员举出其中3种他们发现的恶意套件为例,名为adobe-dcapi-web的NPM套件设置相当高的版号(如99.99.99),使得自动更新的开发人员就会随之套用到开发环境,此套件经由透过混淆处理的JavaScript程式码,将敏感资料传送到OAST平台oastify.com。

另一个名为monoliht的PyPI套件,则是透过恶意指令码收集开发人员电脑的中继资料,并将搜括的资料传送到多个恶意网站。

第三个是RubyGems恶意套件,攻击者以chauuuyhhn、nosvemosssadfsd、holaaaaaafasdf名称上架,其特点是借由DNS查询来收集资料。研究人员指出,由于入侵侦测系统(IDS)通常会将DNS流量视为良性,使得攻击者降低被发现的风险。