事件简述

近日，checkmarx 研究人员公开了一起涉及众多包的 NPM 软件供应链攻击事件。

事件最早可以追溯到 2021年12月，攻击者投放了1200多个包含混淆加密的恶意 NPM，这些包含有相同的挖矿脚本 eazyminer，该脚本的目的是利用如 Database 和 Web 等所在服务器的机器闲置资源进行挖矿。

攻击事件分析

攻击手法

CuteBoi 主要依赖 mail.tm 提供的一次性电子邮件服务和免费的邮件获取 API ，攻击者可以通过该 API 在发布包时绕过双因子验证(2FA)，创建大量用户账号。

（图片源自checkmarx.com）

所有已发布的恶意包都使用了 eazyminer 的源代码，该包利用 Web 服务器上未被使用的资源来挖取 Monero 币。

（恶意包中的 eazyminer 调用代码片段）

包中分别包含Linux和Windows中的可执行文件ronbhdcvpqkxwget和ronbhdcvpqkxwget.exe。

（目录中的挖矿程序）

在判断操作系统环境信息后进行调用。

（判断环境信息）

攻击影响

如果开发者安装了这些包，则会在被调用时挖掘 Monero币。由于 eazyminer 的作者在源代码中设置了cpu 优先级（eazyminer）为0，因此挖矿进程不会抢占其他进程的已有资源，不容易被察觉。开发者在检查时认为服务器处于正常运行的状态，但挖矿包很有可能在后台偷偷执行。

（eazyminer原作者的声明）

本周OSCS社区监测到至少3起以上的投毒挖矿事件，建议开发者及时关注。

参考链接

• https://checkmarx.com/blog/cuteboi-detected-preparing-a-large-scale-crypto-mining-campaign-on-npm-users/

• checkmarx研究人员公开了恶意软件包的列表，恶意包存放地址：

  https://cuteboi.info/

了解更多

OSCS （开源软件供应链安全社区）会第一时间发布开源项目最新的安全风险动态，包括开源包安全漏洞、投毒情报等信息，社区用户可通过企微、钉钉、飞书等方式进行订阅。

具体订阅方式详见：

https://www.oscs1024.com/docs/vuln-warning/intro/

(文/开源中国)