在NPM供应链攻击蔓延前将其扼杀:深度剖析钓鱼攻击与技术防护

本文深入分析了针对NPM开发者的供应链攻击案例,详细剖析了攻击者如何通过仿冒官方邮件、滥用认证协议等手段窃取凭证并植入恶意代码,并阐述了如何通过多层检测技术(如域名情报、内容分析和品牌仿冒检测)在攻击链早期进行识别与阻断。

引言

大多数重大的供应链攻击都始于一个单一的受损账户——通常源自一封精心设计的钓鱼邮件。在NPM生态系统中,开发者经常交换代码和凭证,一次成功的入侵可能引发成千上万个应用程序的连锁安全风险。

本文分析了一起针对NPM开发者的模拟供应链入侵事件,并展示了Group-IB的商业邮件防护(BEP)如何能够检测到触发该事件的第一封钓鱼邮件。通过标记发件人行为异常、域名欺骗和恶意附件,BEP本可以在攻击者触及开发者收件箱之前就将其阻止——在感染链开始之前就将其切断。

这是Group-IB邮件防护系列文章的第一篇,该系列将重点介绍真实世界的网络钓鱼,解释攻击者的策略,并展示商业邮件防护如何利用先进的检测技术和全球威胁情报来阻止威胁,保护企业。

案例分析

2025年9月8日,一名威胁攻击者通过冒充NPM支持的高度针对性钓鱼活动,入侵了开发者Josh Junon(又名"qix")的NPM账户。攻击者从伪造的地址 support@npmjs[.]help 发送了一封主题为"需要更新双因素认证"的邮件,敦促收件人重置其MFA设置以维持账户访问权限。

钓鱼链接(为每个目标定制)将受害者重定向到一个克隆的NPM登录页面。一旦输入凭证,攻击者便获得了对受害者NPM账户的完全访问权限。

借此权限,攻击者修改了20个流行的NPM包,将JavaScript剪切器(Clipper)植入其源代码中。该恶意软件监控浏览器和应用程序活动,以寻找加密货币钱包交互,并将复制或使用的钱包地址替换为攻击者控制的地址。它能检测并替换比特币(BTC)、以太坊(ETH)、Solana(SOL)、波场(TRX)、莱特币(LTC)和比特币现金(BCH)地址,从而在用户毫无察觉的情况下转移资金。

至少有其他四名NPM开发者在同一活动期间报告收到了类似的钓鱼邮件,这表明这是一次旨在入侵多个高影响力维护者的协调行动。总体而言,受影响的包每周下载量接近28亿次,使其成为迄今为止最严重的NPM供应链事件之一。

在采取补救措施后,被入侵的包已恢复为干净版本,受影响的开发者重新获得了对其账户的控制权。

关于此次攻击的更多信息、相关IOC、钓鱼基础设施指标以及攻击者使用的加密货币钱包,可在Group-IB威胁情报平台中找到。

邮件特征与攻击手法

钓鱼邮件伪装成官方的NPM安全通知,声称收件人的双因素认证配置已过时,需要立即处理。邮件通过威胁若不及时解决安全问题将暂停账户,营造了紧迫感。

每封邮件都包含一个恶意行动号召链接,将受害者引导至托管在 npmjs.help 域上的凭据收集网站。该欺诈网站被精心设计得与真实的NPM界面相似。

图1. 伪装成安全更新的欺诈性消息 (图片描述:展示一封伪装成NPM支持的安全更新邮件,敦促用户点击链接"更新双因素认证设置"。)

恶意活动迹象

尽管该活动成功通过了标准的邮件认证协议(SPF、DKIM和DMARC),但多个技术指标揭示了其恶意性质:

  • npmjs.help 域名是新近注册的,与NPM官方基础设施没有合法关联。
  • 邮件内容使用了制造紧迫感的语言,并威胁暂停账户,以此迫使收件人立即行动。
  • 嵌入的链接指向凭据收集页面。

综上所述,上述指标清楚地表明这是一次钓鱼尝试,尽管该活动成功绕过了传统的邮件认证机制。

入侵指标(IOC)

域名与主机:

  • npmjs[.]help
  • static-mw-host[.]b-cdn[.]net
  • img-data-backup[.]b-cdn[.]net
  • websocket-api2[.]publicvm[.]com
  • 185[.]7[.]81[.]108

URL:

  • https://websocket-api2[.]publicvm[.]com/images/jpg-to-png.php
  • https://www[.]npmjs[.]help/login

邮箱地址:

  • support@npmjs[.]help

商业邮件防护的检测

Group-IB的商业邮件防护平台通过跨多个检测层的综合信号关联,检测并阻止类似攻击。系统分析主题行、发件人基础设施、邮件内容、嵌入链接和元数据,以识别复杂威胁。

我们的方法基于多层检测:

  • 域名情报:RDAP检查会立即将新近注册的 npmjs.help 域名标记为可疑。
  • 品牌仿冒分析:高级算法将检测到该域名试图模仿合法的NPM基础设施。
  • 内容分析:静态签名和机器学习模型将识别出制造紧迫感的语言模式以及以安全为主题的社交工程策略,例如提及双因素认证更新的主题行。
  • URL分析:深度检查将揭示链接页面的凭据捕获功能。
  • 行为检测:页面渲染检查将揭露对NPM界面的欺诈性复制。

这种全面的方法确保了高级邮件防护能够识别那些成功绕过基本认证和基于声誉的安全控制的威胁。

图2. 显示威胁指标的商业邮件防护界面 (图片描述:展示Group-IB BEP界面,高亮显示了对可疑域名、品牌仿冒和恶意链接的检测结果。)

结论

npmjs.help 活动展示了老练的攻击者如何将域名抢注(typosquatting)与以安全为主题的社交工程相结合,以针对关键基础设施的维护者。该攻击在成功绕过邮件认证的同时保持了高可信度,这暴露了传统邮件安全方法的局限性。

高级邮件防护系统可以通过域名情报、内容分析和品牌仿冒检测能力,可靠地检测此类恶意活动。

Group-IB的商业邮件防护团队持续监控新出现的供应链威胁,分析针对开发者生态系统的攻击者技术,并更新检测模型,以保护客户免受不断演变的、针对关键基础设施的基于邮件的攻击。

comments powered by Disqus
© 2020 - 2026 qife
使用 Hugo 构建
主题 StackJimmy 设计
本站总访问量 本站访客数人次