昨天我們報導了針對開發人員而來的新型態供應鏈攻擊手法Rules File Backdoor,這種手法駭客看上的就是越來越多開發人員使用的AI程式碼助理GitHub Copilot,如今NPM套件攻擊的手法也出現了變化。
例如,資安業者ReversingLab揭露的不尋常NPM攻擊行動,一旦開發人員部署了駭客的惡意套件,就會在另一個合法的ethers套件埋入惡意程式碼。
【攻擊與威脅】
駭客上架有問題的NPM套件的攻擊活動不時傳出,但最近出現新的手法引起了研究人員的注意,因為這種惡意套件的作案手法與眾不同,即使開發人員察覺中招、將惡意套件移除,也無法完全清理相關威脅。
資安業者ReversingLab揭露惡意NPM套件ethers-provider2、ethers-providerz,這兩個套件的主要功能是惡意程式下載工具,並隱藏其有效酬載,而且,在攻擊鏈的第二階段,駭客竟然「修補」了合法的套件ethers,但實際上,他們在這個套件裡植入反向Shell。
ReversingLab提及第2階段惡意軟體相當特別,它會以無限循環的方式檢查電腦是否安裝名為ethers的套件,假若電腦存在該套件,惡意軟體就會竄改其中的provider-jsonrpc.js元件,使得ethers執行的時候,會從惡意網域下載第3階段的惡意軟體。
絕對武力2遊戲玩家小心網釣!攻擊者想透過瀏覽器內的假視窗竊取Steam帳號
3年前資安人員mr.d0x揭露一種名為Browser-in-the-Browser(BitB)的攻擊手法,駭客在網頁上製作幾可亂真的瀏覽器視窗介面,企圖引誘使用者上當,依照指示進行操作輸入帳密,如今類似的攻擊行動再度出現。
資安業者Silent Push發現新一波的BitB網路釣魚攻擊行動,駭客鎖定絕對武力2(Counter-Strike 2,CS2)的玩家而來,意圖藉此竊取他們的Steam帳號。比較特別的是,駭客為了取信玩家,他們還濫用專業電競團隊Navi的名號。
這些釣魚網站打著Navi的名號,聲稱提供免費道具箱(Free Case)給玩家。一旦玩家依照指示點選想要的道具箱內容,網站就會顯示Steam登入視窗。值得留意的是,雖然這個登入介面看起來像是彈出式視窗,但實際上,這是駭客運用了BitB手法,建置於釣魚網頁裡面的假視窗,若是玩家輸入帳密資料,駭客就會挾持他們的Steam帳號。為了引誘更多玩家上當,駭客也冒用Navi電競選手的名號,透過YouTube散布釣魚網站的資訊。
去年有近8成的網路入侵行動不再仰賴惡意程式,語音網路釣魚成為主力
資安業者CrowdStrike發布2025年的全球威脅報告(2025 Global Threat Report),揭露2024年的全球網路攻擊趨勢,發現有高達79%的攻擊行動已不再仰賴惡意程式,駭客成功入侵的平均時間縮短至48分鐘,去年下半年的語音網釣攻擊成長442%,而且來自中國駭客的攻擊行動增加了150%。
在2019年時,惡意軟體還是駭客入侵系統的主要途徑,非惡意軟體(Malware-free)攻擊只占了40%,5年後,於2024年的調查中發現,Malware-free攻擊比重成長至79%,駭客更傾向於藉由竊取身分與憑證、利用合法軟體、攻擊安全漏洞,或者是社交攻擊來滲透目標對象。
其他攻擊與威脅
◆中國駭客FamousSparrow攻擊升溫!資安業者ESET指出這批人馬疑為攻擊美國電信業的Salt Typhoon
【漏洞與修補】
Mozilla發布Windows版Firefox更新,修補沙箱逃逸漏洞
3月27日Mozilla基金會發布資安公告,指出Windows版Firefox瀏覽器存在重大層級的沙箱逃逸漏洞CVE-2025-2857,他們發布了Firefox 136.0.4、ESR 128.8.1、ESR 115.21.1修補。
針對這項漏洞的發現,起因與之前Google修補的Chrome沙箱逃逸漏洞CVE-2025-2783(CVSS風險評為8.3分)有關,Firefox開發人員在處理程序通訊(IPC)程式碼發現類似的弱點,一旦子處理程序遭到入侵,就有可能導致母處理程序無意間回傳強大的控制程式碼(handle),從而導致沙箱逃逸。
其他漏洞與修補
◆Splunk修補Splunk Enterprise、Secure Gateway高風險漏洞
【資安產業動態】
Google發表新版OSV弱點掃描工具,可以分層掃描容器映像檔漏洞
繼今年1月釋出開源的軟體成分分析工具OSV-SCALIBR後,Goolge在3月中發布新版弱點掃描工具OSV-Scanner 2.0,內建了OSV-SCALIBR軟體組成分析功能,可以支援更多種相依檔案格式來剖析元件之間的關聯,包括.NET、Python、JavaScript、Node模組、Hasker、Java和Go語言的相依檔。
新版也大幅提升了容器映像檔的弱點掃描能力,可以掃描Debian、Ubuntu和Alpie等Linux的容器映像檔,可以分層剖析出有潛在弱點的元件,完整的分層指令和脈絡,還可以排除不會造成太大影響的漏洞,揭露作業系統細節等,可以支援Go、Java、Node和Python語言。另外還可以產生互動式的HTML分析報告,更清楚、完整地呈現容器掃描結果。
近期資安日報
【3月27日】資安業者揭露能對GitHub Copilot用戶發動的AI供應鏈攻擊手法
