OSCS(开源软件供应链安全社区)推出免费的漏洞、投毒情报订阅服务,社区用户可通过机器人订阅情报信息,具体订阅方式详见:https://www.oscs1024.com/?src=wx
事件简述
2022 年 7 月 7 日,OSCS 监测发现开发者 hayahunterr 在 NPM 仓库中上传了 ably-common、api-key-regex、ably-asset-tracking-common、repository-audit 等恶意组件包。
这些组件包与 Ably 公司的开源项目同名,推测其抢注包名是期望证明此类风险从而赚取 Ably 公司的漏洞赏金。
事件分析
7月7日,OSCS 监测发现 NPM 仓库中出现了由开发者 hayahunterr 上传的多个恶意组件包,并在描述中注明了bugbounty hunt等字样。
通过对包名分析可以发现,Ably 公司在 NPM 仓库中发布了名为 ably 的组件包。
Ably 公司还在 GitHub 中有其他 Node.js 开源项目,其中包括 ably-common、api-key-regex 等,但并没有在 NPM 中发布。
因此,hayahunterr 可能在观察到该现象后决定通过在 NPM 仓库上传 ably-common,ably-asset-tracking-common 等与 Ably 公司开源项目同名的恶意组件包,进行抢注,验证这些项目是否在 Ably 公司内部已经发布,并且是否存在研发人员通过公开仓库下载使用内部组件。
其验证的方式是添加了如下代码,当这些包被引用时会将用户名,环境信息等敏感发送到远程服务器。
总结
通过近期监测可以发现频繁出现类似抢注内部包名的投毒事件,所幸大部分的行为并没有恶意,也没有造成太大的影响,但此类水坑攻击的成本低、风险高,企业需要注意防范。
了解更多
1. 免费使用 OSCS 的情报订阅服务
OSCS (开源软件供应链安全社区)会第一时间发布开源项目最新的安全风险动态,包括开源组件安全漏洞、投毒情报等信息,社区用户可通过企微、钉钉、飞书等方式进行订阅。
具体订阅方式详见:
https://www.oscs1024.com/docs/vuln-warning/intro/
