新型NPM包利用QR码获取Cookie的恶意软件
💡
原文中文,约1800字,阅读约需5分钟。
📝
内容提要
近期发现npm包'fezbox'利用二维码隐藏恶意代码,窃取用户Cookie。攻击者设计高密度二维码以规避识别,并与命令控制服务器通信,展现新型攻击手法。
🎯
关键要点
- 二维码被攻击者用于隐藏恶意代码,窃取用户Cookie。
- npm包'fezbox'伪装成实用工具库,通过二维码获取窃Cookie恶意软件。
- 恶意包在npmjs.com发布,下载量达327次。
- 恶意载荷存在于dist/fezbox.cjs文件中,经过压缩处理。
- 攻击者使用反向存储URL的方式规避静态分析工具的检测。
- 二维码设计密度异常高,普通手机摄像头无法稳定识别。
- 混淆载荷通过document.cookie读取Cookie数据,窃取用户名和密码。
- 攻击创新点在于受感染设备可自动与命令控制服务器通信,无需人工介入。
- 此次攻击展示了利用任何可用载体实施攻击的趋势。
➡️
