CuteBoi：超过 1200 个 NPM 包加入挖矿逻辑事件简述近日

事件简述
近日， checkmarx研究人员公开了一起涉及众多包的NPM软件供应链攻击事件。
事件最早可以追溯到2021年12月，攻击者投放了1200多个包含混淆加密的恶意NPM ，这些包含有相同的挖矿脚本eazyminer ，该脚本的目的是利用如Database和Web等所在服务器的机器闲置资源进行挖矿。
攻击事件分析
攻击手法
CuteBoi主要依赖mail.tm提供的一次性电子邮件服务和免费的邮件获取API ，攻击者可以通过该API在发布包时绕过双因子验证(2FA) ，创建大量用户账号。

文章图片
（图片源自checkmarx.com）
所有已发布的恶意包都使用了eazyminer的源代码，该包利用Web服务器上未被使用的资源来挖取Monero币。

文章图片
（恶意包中的eazyminer调用代码片段）
包中分别包含Linux和Windows中的可执行文件ronbhdcvpqkxwget和ronbhdcvpqkxwget.exe 。

文章图片
（目录中的挖矿程序）
在判断操作系统环境信息后进行调用。

文章图片
（判断环境信息）
攻击影响
如果开发者安装了这些包，则会在被调用时挖掘Monero币。由于eazyminer的作者在源代码中设置了cpu优先级（eazyminer）为0 ，因此挖矿进程不会抢占其他进程的已有资源，不容易被察觉。开发者在检查时认为服务器处于正常运行的状态，但挖矿包很有可能在后台偷偷执行。

文章图片
（eazyminer原作者的声明）
本周OSCS社区监测到至少3起以上的投毒挖矿事件，建议开发者及时关注。
参考链接https://checkmarx.com/blog/cuteboi-detected-preparing-a-large-scale-crypto-mining-campaign-on-npm-users/checkmarx研究人员公开了恶意软件包的列表，恶意包存放地址：https://cuteboi.info/
了解更多
OSCS（开源软件供应链安全社区）会第一时间发布开源项目最新的安全风险动态，包括开源包安全漏洞、投毒情报等信息，社区用户可通过企微、钉钉、飞书等方式进行订阅。
具体订阅方式详见：https://www.oscs1024.com/docs/vuln-warning/intro/

文章图片

文章图片
返回搜狐，查看更多
【CuteBoi：超过 1200 个 NPM 包加入挖矿逻辑】责任编辑：