本文章引自資安媒體Hackread,ACW小編整理。
⚠ 資安情資重點說明
最近Socket's威脅研究團隊揭露了兩個帶有隱藏端點的惡意程式套件「express-api-sync」以及「system-health-sync-api」,這些套件偽裝成用於系統監控以及數據同步的程式,並且可根據需求清除開發人員應用程式當中的所有檔案。
express-api-sync具破壞性,它將隱藏的HTTP POST端點(/api/this/that),注入到任何包含的Express應用程式中,一旦觸發編碼鍵“DEFAULT_123,”,它就會執行Unix命令rm -rf *。而system-health-sync-api更具威脅,具備功能健康檢查、SMTP整合以及對於Express、原始HTTP伺服器的動態支援。首先在底層蒐集伺服器資料、主機名稱等資訊,而後透過電子郵件發送編碼位址anupm019@gmailcom,此套件不僅支援跨平台刪除檔案,甚至會完全清除當前目錄。
從研究團隊的分析來看,攻擊者現在對於使系統離線以及蒐集基礎設施的情報更感興趣,他們正在建構一個處於休眠狀態,並可隨時伺機而動的工具 。Saviynt的首席信任官Jim Routh也於發表評論中指出:這是一起軟體供應鏈入侵案例,惡意軟體被設計成看似無害、一旦嵌入就會啟動後門,發動攻擊,並呼籲企業應提升所有擁有存取軟體建置流程權限人員的身分管理。
⚠ 建議採取資安強化措施
1. 確保所有軟體及作業系統都有定期更新並強化安全性修補程式。
2. 建議國內企業可參考台灣電腦網路危機處理暨協調中心(TWCERT/CC) |
「勒索軟體防護專區」的指南與檢核表,以預防駭侵攻擊。專區內提供事前-勒索軟體預防措施、事中-被勒索軟體攻擊時的應變措施以及事後-回復階段的作法。
⚠ 相關參考連結
https://hackread.com/backdoors-npm-packages-attackers-wipe-systems/