针对开发人员的恶意套件攻击,从NPM、PyPI套件,到IDE开发工具Visual Studio Code(VSCode)的延伸套件市集,如今也有针对Cursor AI用户的攻击行动,骇客锁定的目标,是名为Open VSX的套件库,且有开发人员因不慎安装恶意套件损失50万美元(约新台币1,465万元)。
在恶意套件攻击事故之外,最近出现的新型态攻击手法相当值得留意,例如:FileFix网钓手法、搭配ZIP档的网站攻击活动、滥用Inno Setup内建指令码功能载入恶意软体的手段,都更难以察觉及防范。
【攻击与威胁】
锁定Visual Studio Code(VSCode)的恶意延伸套件攻击,已有多起事故发生,如今也有攻击其他整合式开发工具(IDE)用户的情况出现。
事件的揭露是源自一名白俄罗斯的区块链开发人员,他的加密货币资产在今年6月遭窃,损失约50万美元,但怪异的是,电脑的作业系统在事发数天前才重灌,电脑只有安装必要的应用程式,他并未下载其他档案,这样的情况相当不寻常,于是他找上资安业者卡巴斯基寻求协助。
卡巴斯基在受害电脑进行调查,结果找到名为extension.js的档案,经过分析此为Cursor AI延伸套件Solidity Language,可从Open VSX套件库取得。此套件约于两个月前上架,已被下载5.4万次,号称能对Solidity智慧合约的程式码最佳化。但实际上,这是模仿正牌工具Solidity的恶意套件,并未具备介绍网页里列出的功能,真正功能是从特定的网页伺服器下载恶意程式码并执行。
上个月资安研究员Mr.d0x揭露ClickFix网钓攻击手法的衍生版本FileFix,并指出攻击者可滥用浏览器的档案上传机制,下达指示要求使用者操作,从而于受害电脑执行恶意命令,过程无须离开浏览器,而这样的警告,很有可能来自实际的攻击行动。
资安研究团队The DFIR Report与资安业者Proofpoint联手,发现最新一波勒索软体骇客组织Interlock的攻击行动,骇客约从今年5月开始,针对已遭渗透的网站下手,在网页的HTML档案注入单行指令码,意图借此散播RAT木马程式Interlock RAT(也被称为NodeSnake),将JavaScript写成的恶意程式植入使用者电脑,而这也是FileFix首度被发现用于实际攻击活动的情况。
WordPress可用来快速建立网站,基于这个内容管理系统而成的网站很多,也是许多歹徒觊觎的对象,而拿下此类网站的其中一种目的,是将其做为散布恶意程式的管道,攻击者运用的手法也日益刁钻。
近期发生在资安业者Sucuri客户网站的资安事故,就是这样的例子。攻击者在受害网站重要的WordPress元件wp-settings.php当中,插入两行可疑的程式码,试图利用zip://通讯协定,从压缩档win.zip载入恶意的PHP档案。Sucuri指出,这种手法相当隐密,能够将恶意程式码埋藏在看似无害的ZIP档案。
究竟攻击者的目的是什么?Sucuri认为,最主要是操纵搜寻引擎对恶意网站的排名。攻击者借由在受害网站注入垃圾内容、未经授权的网站地图、进行301重新导向(浏览器连至已永久改变网址的页面时,可透过呈现状态码301来表达,通常也会传送HTTP Location,重新导引至新位置),从而拉升恶意网站的搜寻结果。
骇客滥用合法工具来掩盖网路犯罪的情况相当泛滥,其中一种挟带恶意软体最常见的手段,就是窜改应用程式的安装档案来达到目的,但如今有人针对打包安装程式的工具而来,将恶意酬载埋入看似可信赖的安装档案里。
最近有个恶意的Inno Setup安装程式,引起企业资料搜寻与资安软体业者Splunk研究人员的注意,骇客利用此种安装工具提供的Pascal指令码功能,于受害电脑接收、下载下个阶段的有效酬载,然后执行Shell Code与恶意程式下载工具HijackLoader,从而成功回避侦测,最终传递恶意昭彰的窃资软体RedLine Stealer。
有别于其他直接在安装程式挟带有效酬载的手法,这次攻击者运用了Inno Setup内建的Pascal指令码功能,于受害电脑载入恶意酬载并执行。Splunk指出,这样的手法并不常见,但过往也曾出现类似手法,其中一种是叫做D3fackLoader的恶意软体载入工具,感染的特征与这起事故相当类似。
◆为提升处理效率,企业很可能会运用AI聊天机器人加速沟通的速度,然而若是设置不当,很有可能让存放的资料曝光。
最近有一项资安漏洞的发现引起各界关注,这些弱点出现在麦当劳的征才对话机器人McHire,此机器人以科技业者Paradox.ai旗下的机器人Olivia为基础打造,用来收集求职者的个人资料。但研究人员Ian Carroll与Sam Curry发现,此系统的管理后台竟采用帐号与密码皆为123456的预设帐号,然后两名研究人员循线找到不安全的直接物件参照(Insecure Direct Object Reference,IDOR)漏洞,攻击者只要调整特定的参数,就有机会存取其他应征者的聊天内容,从而挖掘相关个资。
这样的情况,恐影响美国6,400万名曾经应征的求职者。研究人员于6月30日通报麦当劳与Paradox.ai,麦当劳注销上述的预设帐号,隔日Paradox.ai修补IDOR漏洞。
其他漏洞与修补