新型NPM包利用QR码获取Cookie的恶意软件
💡
原文中文,约1800字,阅读约需5分钟。
📝
内容提要
近期发现npm包'fezbox'利用二维码隐藏恶意代码,窃取用户Cookie。攻击者设计高密度二维码以规避识别,并与命令控制服务器通信,展现新型攻击手法。
🎯
关键要点
- 二维码被攻击者用于隐藏恶意代码,窃取用户Cookie。
- npm包'fezbox'伪装成实用工具库,通过二维码获取窃Cookie恶意软件。
- 恶意包在npmjs.com发布,下载量达327次。
- 恶意载荷存在于dist/fezbox.cjs文件中,经过压缩处理。
- 攻击者使用反向存储URL的方式规避静态分析工具的检测。
- 二维码设计密度异常高,普通手机摄像头无法稳定识别。
- 混淆载荷通过document.cookie读取Cookie数据,窃取用户名和密码。
- 攻击创新点在于受感染设备可自动与命令控制服务器通信,无需人工介入。
- 此次攻击展示了利用任何可用载体实施攻击的趋势。
❓
延伸问答
npm包'fezbox'是如何窃取用户Cookie的?
该npm包通过二维码隐藏恶意代码,利用混淆载荷读取用户的Cookie数据,从而窃取用户名和密码。
攻击者如何设计二维码以规避检测?
攻击者设计了高密度二维码,普通手机摄像头无法稳定识别,并使用反向存储URL的方式来规避静态分析工具的检测。
恶意包'fezbox'的下载量是多少?
在被下架前,恶意包'fezbox'的下载量至少达327次。
此次攻击的创新点是什么?
此次攻击的创新点在于受感染设备可以自动与命令控制服务器通信,无需人工介入,展现了二维码滥用的新方式。
恶意载荷是如何处理二维码的?
恶意载荷会获取一张包含二维码的JPG图片,处理后解析并执行二维码中的代码。
二维码的高密度设计有什么目的?
高密度设计的二维码承载的数据量远超普通二维码,旨在传递可被'fezbox'包解析的混淆代码。
➡️
