防范NPM供应链攻击蔓延的关键检测技术

本文通过分析针对NPM开发者的供应链攻击案例,详细介绍了Group-IB业务邮件保护系统如何通过多层级检测技术识别钓鱼邮件,包括域名情报分析、品牌冒充检测、内容分析和行为检测等方法,有效阻断攻击链。

检测NPM供应链攻击在扩散前的关键方法

引言

大多数重大供应链攻击都始于单个被入侵的账户——通常通过一封精心设计的钓鱼邮件。在NPM生态系统中,开发人员经常交换代码和凭证,一次成功的入侵可能引发数千个易受攻击的应用程序。

本文分析了针对NPM开发人员的模拟供应链攻击,展示了Group-IB的业务邮件保护(BEP)如何检测到触发该事件的第一封钓鱼邮件。通过标记发件人行为异常、域名欺骗和恶意附件,BEP可以在攻击者到达开发人员收件箱之前就将其阻止——在感染链开始前就将其切断。

这是Group-IB邮件保护系列的第一篇文章,该系列将重点介绍现实世界中的网络钓鱼攻击,解释对手策略,并展示业务邮件保护如何利用高级检测和全球威胁情报在威胁影响业务之前将其阻止。

案例研究

2025年9月8日,威胁攻击者通过冒充NPM支持的高度针对性钓鱼活动,入侵了开发人员Josh Junon(被称为"qix")的NPM账户。攻击者从伪造地址support@npmjs[.]help发送了一封题为"需要更新双因素认证"的邮件,敦促收件人重置其MFA设置以维持账户访问权限。

为每个目标定制的钓鱼链接将受害者重定向到克隆的NPM登录页面。一旦输入凭证,攻击者就获得了对受害者NPM账户的完全访问权限。

利用此访问权限,攻击者修改了20个流行的NPM包,在其源代码中插入了一个JavaScript剪切器。该恶意软件监控浏览器和应用程序活动中的加密货币钱包交互,将被复制或使用的钱包地址替换为攻击者控制的地址。它可以检测并替换比特币(BTC)、以太坊(ETH)、Solana(SOL)、Tron(TRX)、莱特币(LTC)和比特币现金(BCH)地址,有效地转移资金而用户毫无察觉。

在同一活动中,至少有其他四名NPM开发人员报告收到了类似的钓鱼邮件,这表明存在协调尝试入侵多个高影响力维护者的行为。总体而言,受影响的包每周下载量接近28亿次,使其成为迄今为止最重要的NPM供应链事件之一。

在修复后,受感染的包已恢复为干净版本,受影响的开发人员重新获得了对其账户的控制权。

有关攻击的更多信息、相关IOC、钓鱼基础设施指标和对手使用的加密货币钱包可在Group-IB威胁情报平台中找到。

邮件特征和策略

钓鱼邮件伪装成官方的NPM安全通知,声称收件人的双因素认证配置已过时,需要立即关注。这些消息通过威胁如果不及时解决安全问题将暂停账户来制造紧迫感。

每封邮件都包含一个恶意的行动号召链接,将受害者定向到托管在npmjs.help域上的凭证收集站点。该欺诈站点被精心制作成看起来像真实的NPM界面。

图1. 伪装成安全更新的欺诈消息

恶意活动迹象

尽管成功通过了标准邮件认证协议(SPF、DKIM和DMARC),但几个技术指标揭示了该活动的恶意性质:

  • npmjs.help域最近才注册,与NPM的官方基础设施没有合法连接
  • 邮件包含制造紧迫感的语言,并威胁要暂停账户以迫使收件人立即采取行动
  • 嵌入的链接指向凭证收集页面

综上所述,上述指标清楚地指向钓鱼尝试,尽管该活动成功绕过了传统的邮件认证机制。

入侵指标

域名和主机:

  • npmjs[.]help
  • static-mw-host[.]b-cdn[.]net
  • img-data-backup[.]b-cdn[.]net
  • websocket-api2[.]publicvm[.]com
  • 185[.]7[.]81[.]108

URL:

  • https://websocket-api2[.]publicvm[.]com/images/jpg-to-png.php
  • https://www[.]npmjs[.]help/login

邮件地址:

  • support@npmjs[.]help

业务邮件保护检测

Group-IB的业务邮件保护平台通过跨多个检测层的全面信号关联来检测和阻止类似攻击。系统分析主题行、发件人基础设施、消息内容、嵌入链接和元数据以识别复杂威胁。

我们的方法基于多层检测:

  • 域名情报:RDAP检查会立即将最近注册的npmjs.help域标记为可疑
  • 品牌冒充分析:高级算法会检测到该域试图模仿合法NPM基础设施
  • 内容分析:静态签名和机器学习模型都会识别紧急语言模式和安全主题的社会工程策略,如提及双因素认证更新的主题行
  • URL分析:深入检查会揭示链接页面的凭证捕获功能
  • 行为检测:页面渲染检查会暴露NPM界面的欺诈性复制

这种全面的方法确保高级邮件保护能够识别成功绕过基本认证和基于声誉的安全控制的威胁。

图2. 显示威胁指标的业务邮件保护界面

结论

npmjs.help活动显示了复杂的对手如何将错拼域名与安全主题的社会工程相结合,以针对关键基础设施维护者。该攻击在绕过邮件认证的同时保持高可信度的成功,证明了传统邮件安全方法的局限性。

高级邮件保护系统可以通过域名情报、内容分析和品牌冒充检测能力可靠地检测此类恶意活动。

Group-IB的业务邮件保护团队持续监控新出现的供应链威胁,分析针对开发人员生态系统的对手技术,并更新检测模型以保护客户免受针对关键基础设施的不断演变的基于邮件的攻击。

使用Group-IB业务邮件保护将邮件安全提升到新水平 在复杂邮件攻击影响业务之前检测、分析和阻止它们 请求演示

comments powered by Disqus
© 2020 - 2025 qife
使用 Hugo 构建
主题 StackJimmy 设计
本站总访问量 本站访客数人次