鎖定NPM組件用戶的供應鏈攻擊，攻擊者混入合法工具竊取瀏覽器帳密

十輪網

山東寰信網絡科技有限公司

攻擊者利用提供開發者工具的名義來發動攻擊，並且運用合法的軟件，而讓人難以發現意圖。惡意軟件分析解決方案企業ReversingLabs近期披露了一起結合上述形態的攻擊行動，他們在名為nodejs_net_server的NPM組件裏，發現攻擊者疑似為了企圖竊取開發者瀏覽器的帳密資料，嵌入了合法工具ChromePass。而這個NPM組件已被近1,300個開發者下載。NPM獲報後，已於7月21日將nodejs_net_server，以及同作者另一個疑似測試用的tempdownloadtempfile下架。

針對這個NPM組件，ReversingLab指出，他們最早是在程序庫文件夾（lib）裏發現名為a.exe的文件，由於怪異的文件命名方式而引起他們的注意，經過分析之後，研究人員確認這是上述提及的ChromePass軟件，而這個軟件原本的用途，是能夠協助用戶恢複Chrome瀏覽器的帳密。

研究人員表示，ChromePass本身無害，但這起攻擊行動中，提供NPM組件的開發者疑似是要運用它的帳密恢複功能，來偷取帳密資料。

而在nodejs_net_server的網頁中，這個組件是ID名稱為chrunlee的人士開發，最新版本為1.1.2，約於6個月前上架。而ReversingLab指出，該組件自2019年2月底推出以來，總共有12個版本，而其中的初始版本1.0.0，疑似只是測試NPM網站的上架流程，但間隔約3個月後的版本，就開始具備遠程殼層（Remote Shell）的功能，不過，究竟這個殼層的用途為何，ReversingLab並未說明。

直到2020年12月的1.1.0版，ReversingLab發現開發者加入了新的程序代碼，從自家網站（hxxps://chrunlee.cn）下載前面提及的a.exe，而後續的1.1.1和1.1.2版，則將程序代碼修改成執行TeamViewer.exe。為何出現這樣的改變？研究人員認為，開發者很可能是不想讓惡意軟件與自己的網站之間，存在明顯的關聯。

除此之外，研究人員發現攻擊者在1.1.1和1.1.2版組件裏，很可能是為了測試ChromePass的功能，而不慎將自己計算機的Chrome瀏覽器帳密導出，並存放於文本文件a.txt，該文本檔與a.exe存儲在相同的文件夾。這些被包入組件的資料總共有282組帳密，創建的時間自2020年3月20日至12月2日。ReversingLab認為，很可能尚有部分是有效資料。