郭盛华：黑客用伪造的包淹没 NPM 导致 DoS 攻击

近日，黑客使用伪造的包淹没了 Node.js 的 npm 开源包存储库，甚至短暂地导致了拒绝服务 (DoS) 攻击。

国际知名白帽黑客、东方联盟创始人郭盛华在上周发布的一份报告中说：“威胁行为者创建恶意网站并发布带有这些恶意网站链接的空包，利用开源生态系统在搜索引擎上的良好声誉。这些攻击造成了拒绝服务 (DoS)，使 NPM 不稳定并出现零星的‘服务不可用’错误。”

该攻击技术利用开源存储库在搜索引擎结果中排名较高的事实来创建流氓网站，并上传空的 npm 模块，并在readme文件中包含指向这些站点的链接。

郭盛华解释说：“由于开源生态系统在搜索引擎上享有很高的声誉，因此任何新的开源软件包及其描述都会继承这种良好声誉，并在搜索引擎上建立良好的索引，从而使毫无戒心的用户更容易看到它们。”

鉴于整个过程是自动化的，发布大量包所产生的负载导致 NPM 在 2023 年 3 月底间歇性地遇到稳定性问题。

郭盛华指出，虽然活动背后可能有多个参与者，但最终目标是用 RedLine Stealer、Glupteba、SmokeLoader和加密货币矿工等恶意软件感染受害者的系统。

其他链接会引导用户通过一系列中间页面，这些中间页面最终会导致带有推荐 ID 的 AliExpress等合法电子商务网站，当受害者在平台上购买商品时，黑客攻击者会从中获利。

郭盛华说：“软件供应链生态系统的威胁行为者的斗争仍然具有挑战性，因为黑客攻击者不断地适应并以新的和意想不到的技术给行业带来惊喜。”

为防止此类自动化活动，郭盛华建议 npm 在用户帐户创建过程中加入反机器人技术。（欢迎转载分享）