最近幾年駭客入侵開發團隊的帳號並冒名上傳惡意套件的情況,已有多起事故傳出,如今類似的攻擊行動再度出現,引起研究人員的關注。
資安業者Aikido Security揭露針對React Native Aria生態系統的NPM供應鏈攻擊,這起事故發生於6月6日晚間,駭客疑似透過其中一個外流的維護人員帳號Token,發布16個React Native和GlueStack套件的惡意版本。由於這些套件相當熱門,每週下載超過100萬次,影響的範圍可能非常廣泛。
React Native Aria生態系統是基於React Native 的程式庫和工具,能夠協助開發者建構跨平臺的使用者介面(UI),具備能靈活自定、整合網頁應用程式常見的W3C ARIA Authoring Practices Guide實作標準,從而提升使用者體驗,擴展用戶群體。
對於這起事故發生的過程,Aikido Security以其中最早被竄改的NPM套件@react-native-aria/focus為例,駭客更動了lib/commonjs/index.js,並在第46行植入惡意程式碼。為了讓資安人員難以察覺,攻擊者使用大量空白字元混淆手法,將有問題的程式碼隱匿於螢幕難以顯示的地方。研究人員經過調查,確認是曾經鎖定另一個套件rand-user-agent的RAT木馬程式。
附帶一提的是,這次研究人員看到的木馬程式,還是存在一些差異。其中最大的不同點,就是具有備援C2伺服器,並能夠根據程式碼的版本進行切換;再者,新的木馬程式能搜括受害電腦的系統資訊,並發出外部請求與回傳指定IP位址的資訊。
熱門新聞
2025-06-16
2025-06-16
2025-06-13
2025-06-13
2025-06-13
2025-06-16
Advertisement