近年來駭客鎖定開發人員下手,上架惡意的NPM、PyPI套件的資安事故不時傳出,其中一種誘騙使用者的手法,就是使用已經下架的套件名稱,重新上架有問題的套件,這種情況相當氾濫,PyPI軟體基金會(PSF)為此採取行動,表明他們會每天追蹤網域名稱的使用情況來因應,如今類似的問題,也在開源IDE工具Visual Studio Code(VS Code)的套件市集出現。
資安業者ReversingLabs指出,他們在今年6月發現新的VS Code惡意延伸套件,可被用於引發勒索軟體攻擊。但引起該公司注意的地方在於,這個惡意套件的名稱與3個月前出現的套件完全相同,他們檢視微軟相關的文件,這樣的情況不應該發生,經過調查後,確認這是存在於VS Code市集的弱點,能讓攻擊者重新利用已下架的套件名稱。
今年6月出現的惡意套件名為ahbanC.shiba,與今年3月出現的套件ahban.shiba名稱相同,都是「shiba」,差別在於開發者的帳號名稱不同,但ahbanC.shiba功能與先前揭露的ahban.shiba、ahban.cychelloworld類似,都是在使用者安裝之後,電腦後續就有可能下載勒索軟體並執行。
ReversingLabs指出,根據微軟發布的VS Code文件,所有的套件名稱都必須是專屬的,不應該出現相同名稱的擴充套件。他們進一步調查,結果發現shiba並非個案,這樣的情況很有可能已被駭客利用。
究竟攻擊者如何得逞?ReversingLabs指出,只要前一個開發人員選擇移除(Remove),其他開發者就能重新使用相同名稱上架新套件。這意味著,一旦有熱門套件不再維護,開發者將其從市集移除,那麼攻擊者很快就會搶下它的名稱,以便進一步運用。
附帶一提的是,假若原開發者設置為取消發布(Unpublish),雖然使用者同樣無法下載套件,但其他套件開發人員也無法使用相同名稱上架自己的套件。
ReversingLabs進一步比對駭客上架新舊惡意套件的時間點,結果發現,新套件ahbanC.shiba很可能在舊套件移除不久就上架,且在6月17日前後設置為取消發布的狀態,雖然使用者無法下載惡意套件,不過他們仍能存取相關統計資料,因此,攻擊者日後很有可能重新發布,以便用於其他攻擊活動。不過,對於駭客為何要採取取消發布的作法,ReversingLabs沒有說明。
熱門新聞
2025-12-02
2025-12-01
2025-11-30
2025-12-01
2025-12-01
