近期,網路安全研究人員發現了一起針對 npm 套件的供應鏈攻擊,攻擊者通過上傳含有惡意程式碼的npm套件,竊取憑證並進行網路釣魚攻擊。這起攻擊涉及27個npm套件,主要針對美國及其盟國關鍵基礎設施相關組織的銷售和商業人員。
根據Socket的研究人員,攻擊者利用npm套件的分發網路(CDN)作為託管基礎設施,提供客戶端HTML和JavaScript誘餌,偽裝成安全的文檔共享,直接嵌入到釣魚頁面中。受害者會被重定向到Microsoft登錄頁面,表單中已預先填寫了電子郵件地址。
這些npm套件被發現內建了多種客戶端檢查機制,以阻礙分析工作,包括過濾機器人程式、繞過沙箱以及要求受害者進行滑鼠或觸控操作後才會將其引導至攻擊者控制的憑證竊取基礎設施。此外,JavaScript程式碼也經過混淆或大幅壓縮,以增加分析難度。
npm 供應鏈攻擊的影響
npm 供應鏈攻擊對企業和開發人員的影響非常嚴重。根據趨勢科技的監測資料顯示,北美和歐洲是其中一個惡意程式肆虐最嚴重的地區。但截至目前為止,尚無Shai-Hulud蠕蟲的偵測案例。
有關npm 供應鏈攻擊的更多資訊,可以參考趨勢科技的研究報告,該報告詳細說明了近期npm生態系遭到駭客入侵的大致情況,以及SOC團隊需要知道的一些資訊與防範這項威脅的資安建議。
npm 多項熱門套件遭供應鏈攻擊
除了上述的27個npm套件外,還有其他多項熱門套件遭到供應鏈攻擊,包括`chalk`、`debug`等套件。這些套件被發現含有惡意程式碼,可能會竊取虛擬加密貨幣資產。
對於開發團隊來說,這意味著攻擊面不僅限於高下載量的熱門模組,就連廣泛應用於廣告投放與前端開發的套件也難以倖免,強調了軟體供應鏈風險的嚴峻程度。
台灣半導體業再成攻擊目標
Proofpoint觀察到,與中國政府相關的網路間諜組織,針對台灣半導體產業的網路釣魚攻擊活動顯著增加。這些攻擊活動自2023年底開始加速,並於2024年初達到高峰。目標對象涵蓋台灣半導體產業鏈中的關鍵角色,包括半導體製造商、供應商以及相關研究機構。
MITRE ATT&CK 對應
- T1190 – Initial Access: Phishing
結論
npm套件供應鏈攻擊是一種嚴重的安全威脅,企業和開發人員需要提高警覺, 加強網路安全防護措施,並定期更新安全軟體。同時,也應對員工進行網路安全意識培訓,使其能夠辨識和防範網路釣魚攻擊。
參考資料與原文來源
- 🔗 原文來源: https://www.lvbug.com/27%E5%80%8B%E6%83%A1%E6%84%8Fnpm%E5%A5%97%E4%BB%B6%E8%A2%AB%E7%94%A8%E4%BD%9C%E7%B6%B2%E8%B7%AF%E9%87%A3%E9%AD%9A%E5%9F%BA%E7%A4%8E%E8%A8%AD%E6%96%BD%E7%AB%8A%E5%8F%96%E7%99%BB%E5%85%A5%E6%86%91/
- 🔗 原文來源: https://www.trendmicro.com/zh_tw/research/25/i/npm-supply-chain-attack.html
- 🔗 原文來源: https://www.uniforce.com.tw/edcontent_d.php?lang=tw&tb=1&id=2637
- 🔗 原文來源: https://www.ciphertech.com.tw/all_news/products_news/proofpoint-news/phish-china-aligned-espionage-actors-ramp-up-taiwan-semiconductor-targeting/
🧠本文由 DreamJ AI 技術新聞生成系統 自動撰寫並進行語意優化,僅供技術研究與教學使用。
請以原廠公告、CVE 官方資料與安全建議為最終依據。
