从“恶意安装”向“公共资源托管”的范式转移
以往的攻击往往依赖“拼写劫持(Typosquatting)”,而本次截获的 27 个恶意包(如 onedrive-verification)采取了完全不同的思路:
基础设施借径:攻击者将精心构造的钓鱼 HTML 和 JS 代码上传至 npm。
CDN 信任背书:通过 jsDelivr 或 unpkg 等合法 CDN 平台,这些恶意文件被自动分发至全球节点。
防御侧的尴尬:安全网关通常会信任这些公共 CDN 域名。由于拦截公共 CDN 往往意味着正常的开发业务会瘫痪,黑客成功实现了“在白名单中潜伏”。
攻击防御对抗:反分析逻辑与 AitM 深度伪装
这批攻击包并非简单的网页克隆,其内部集成了高度成熟的对抗技术:
1.陷阱字段(Honeypotting):在 DOM 结构中预埋肉眼不可见的输入框。正常的受害者不会与之交互,但自动化爬虫和安全扫描器往往会尝试填充所有表单。一旦监测到该字段被写入,脚本将立即中断攻击流。
2.活体环境校验:脚本会强制检测客户端的物理交互信号(如真实的鼠标轨迹、触屏压力)。在缺乏人类真实行为的沙箱模拟环境中,恶意代码会保持休眠。
3.AitM(中间人)与 MFA 绕过:分析证实,这批代码与开源钓鱼框架 Evilginx 存在同源逻辑。它不仅是静态的仿冒,而是实时的中间人攻击(Adversary-in-the-Middle)。通过实时代理受害者与官方服务器(如 Microsoft)之间的流量,攻击者可以拦截动态生成的 Session Cookie,从而让多因素认证(MFA)形同虚设。
精准狩猎:针对垂直行业的“外科手术”式定点
研究发现,这并非一次盲目的流量劫持,而是一场带有明确目标的定向渗透:
画像分析:源码中硬编码了 25 个特定目标的邮件地址,受害者集中在欧洲及美国的制造业、自动化和医疗领域。
脆弱环选择:攻击目标并非具备较高警觉性的 IT 部门,而是频繁处理外部商务合同、报价单的销售与客服人员。攻击者利用这一群体对“发票确认”等邮件天然的高响应率进行定点突破。
趋势总结与防御对策
这种利用包管理器构建“弹性基础设施”的趋势,预示着供应链攻击正在向高度定制化、高韧性化演进。传统的“静态文件审计”已难以捕获此类动态躲避技术。
防御建议:
流量侧监控:在防火墙层级监控非开发部门设备对 jsdelivr.net、unpkg.com 等域名的异常请求频率。
身份认证升级:鉴于 AitM 攻击对令牌的拦截能力,建议企业由传统的 TOTP 验证码升级为基于 FIDO2 标准的物理安全密钥。
跨域治理:重新审视企业对“公共资源库”的信任策略,必要时在网关层实施基于业务属性的访问限制。
网站资讯
渠道合作
解决方案
更多服务
