JFrog研究人员发现八个恶意NPM软件包使用70层混淆技术窃取Windows版Chrome浏览器用户的数据。此次攻击凸显了开发者面临的日益严重的威胁。

JFrog Security Research的网络安全研究人员发现了八个恶意NPM软件包。这些软件包旨在攻击Google Chrome浏览器上的Windows用户并窃取个人数据。

这些软件包是所谓的供应链攻击的典型例子，这种攻击是软件行业日益严重的风险。这种攻击发生在恶意代码被秘密注入软件开发流程的合法部分（例如开源库）时，这些代码随后被许多不同的开发人员使用。这使得黑客无需直接攻击每个人，就能接触到大量的用户。

根据JFrog的博客文章，攻击者使用一系列先进技术（包括专家所说的“多层混淆”）将恶意代码隐藏在程序包中，以隐藏其真实目的。

该恶意代码总共经过了“70层代码混淆”，极难检测。此外，该代码会自动下载并在受害者设备上安装特定版本的Python 。然后，它会利用该版本运行隐藏脚本。所有这些操作都无需任何用户输入或授权。

此攻击周期的最终目标是窃取Chrome浏览器中的敏感数据，包括密码、信用卡信息、加密货币资金和用户Cookie。幕后攻击者是名为“ruer”的NPM用户和名为“npjun”的NPM用户。

众所周知，开源软件仓库正成为攻击者的首要目标。黑客越来越多地使用域名抢注和伪装等策略，他们创建与热门软件包名称相似的软件包，诱骗开发人员误用。

尽管如此，JFrog研究人员还是报告了该事件，并且所有8个恶意软件包都已被删除。

JFrog 安全研究员兼本报告作者Guy Korolevski分享了他的评论，指出这些攻击的复杂性表明了为什么需要时刻保持警惕。

他表示：“旨在逃避传统安全措施并窃取敏感数据的复杂多层活动的影响凸显了通过严格的自动扫描和所有软件组件的单一真实来源来监控整个软件供应链的重要性。”