【社工】NodeJS 应用仓库钓鱼

news2024/11/18 14:31:41

前言

 

城堡总是从内部攻破的。再强大的系统,也得通过人来控制。如果将入侵直接从人这个环节发起,那么再坚固的防线,也都成为摆设。

下面分享一个例子,利用应用仓库,渗透到开发人员的系统中。

应用仓库

应用仓库对于开发人员再熟悉不过了。apt-get,brew,yum,npm ... 无非就是个命令行版的 App Store,方便各种工具以及依赖库的安装。

他们大致原理都差不多。今天讲解的是 NodeJS 应用仓库 —— NPM 的安全试探。

NPM 平台

如果 NodeJS 只能单机运行,那就和 WScript 差不多了。好在 NPM 平台的出现,让整个社区互动起来。

开发者可以通过 NPM 安装需要的库,用户也可以通过它完成项目的安装。以至于短短几年时间里,数以万计的 NodeJS 项目被发布到 NPM 上,每天都有几千万次的下载量。如此大的用户群体,是否会存在安全隐患?

仓库篡改

最容易想到的,就是 NPM 账号被盗。一旦密码被泄露,攻击者就可以发布项目的新版本。正常用户一旦更新,就安装上了恶意脚本程序。

不过,要获取平台账号谈何容易。而且活跃度高的项目被篡改,很快就会被发现。

仓库钓鱼

改人家的东西肯定不靠谱,那就只能用自己的。但自己凭空创建的项目是毫无人气的,因此得设法引诱部分用户过来。

攻击者可以取一个和活跃项目差不多的名字。例如人气很高的 uglify-js,可以山寨一个叫 uglifyjs 的李鬼。一旦用户拼错了单词,就安装上了冒牌的项目。

为了不让用户发现,可以直接克隆原版项目,让用户能和正常版本完全一样的使用,很难发现其中的破绽。然后在某些隐蔽的模块里做些手脚,一旦用户运行了脚本,其中的恶魔就释放出来了!

相比传统的恶意程序,NodeJS 这种兴起不久、并且高度灵活的语言,防御程序会少的多。

安装时入侵

如果用户发现装错了项目,还没运行就卸载了,是否就无法入侵了?

事实上,NPM 提供了无比强大的功能,甚至可以在安装时就能执行额外的命令。

在 scripts 字段里,可以定义各个阶段的命令扩展。

例如 postinstall,即可在仓库包安装完成后执行。

这样,只要用户敲入 npm install xxx 时手一抖,系统就可能被入侵了。

这听起来似乎有些天方夜谭。不过经测试,一个活跃项目的山寨版,每天也有几十到上百的安装量(误装量~)。虽然数量很少,还不到原版的一个零头,但都是潜在的高质量用户。

其中大多都是开发人员,一旦系统被控制,即可渗透到企业内网里。

持续性入侵

一旦开发人员的系统被控制,产生的后果远比想象中的严重。除了各种信息被泄露外,还会有更恐怖的事。

以 uglify-js 为例,如果开发人员安装了钓鱼版本,那么会出现什么后果?

由于它本身就是一个类似编译器的压缩工具,把测试完毕的源代码,转成不可读的黑盒程序 —— 这很有可能就是上线前的最后一步。如果这个环节被黑客操控,那么即使已通过审核的源码,也难逃魔掌了。

也许,钓鱼工具会在压缩后的脚本里插入一段隐蔽的 XSS,开发者不仔细查看很难发现。一旦脚本被发布,线上成千上万的用户就遭殃了。

攻击者不费一兵一卒,直接从最源头攻下这个堡垒。

当然,不仅仅可以感染 Web,其他客户端的更有可能。一些很少关注的开源库,或者头文件代码,都可能是恶意代码的藏身之处。

钓鱼推广

毕竟手误的用户是有限的。为了能扩大感染量,不排除攻击者会主动推广自己的钓鱼项目。

当然,这种推广不会太明显,旁人甚至根本完全感觉不到其中正真的意图。

攻击者可以转载一些近期热门的文章,然后将其中的演示地址替换成自己的钓鱼项目。于是,前来围观的看客们就在毫无防备的情况下一试用,被悄悄控制了。

或者更加直接的,在论坛或社交圈里推广自己的项目,并配上一些亮瞎的文字和炫酷的图片。于是一些好奇心强的人们,正好中了攻击者的下怀。

总结

除了 NPM 外,其他一些无需审核的应用仓库,都有可能出现钓鱼项目的风险。

因此平时安装时,得格外小心。忘记了名字的项目,必须查证后再安装。

同时对于一些来路不明的项目,也谨慎尝试。毕竟,安装一个项目和直接打开一个应用程序其实是一样的!

本文来自互联网用户投稿,该文观点仅代表作者本人,不代表本站立场。本站仅提供信息存储空间服务,不拥有所有权,不承担相关法律责任。如若转载,请注明出处:http://www.coloradmin.cn/o/545259.html

如若内容造成侵权/违法违规/事实不符,请联系多彩编程网进行投诉反馈,一经查实,立即删除!

相关文章

手写决策树算法——基于决策树的XX联盟游戏胜负预测

机器学习 基于决策树的 XX联盟游戏胜负预测 作者:李俊才 (jcLee95):https://blog.csdn.net/qq_28550263?spm1001.2101.3001.5343 邮箱 :291148484163.com 本文地址:https://blog.csdn.net/qq_28550263/ar…

用Powerpoint (PPT)制作并导出矢量图、高分辨率图

论文写作时经常需要导入矢量图,正规军都是用AI或者Inkscape,但是PPT更加适合小白用户,或者一些简单的构图需求,而且不得不承认PPT的某些功能是真的香,例如:简单的对齐、文字插入和格式修改等等。但是PPT是不…

Ansys仿真TDR

1、TDR测量的原理: 2、时域反射计TDR的电路仿真 打开Ansys的TDR电路例程,单端电路和TDR源的设置如下图所示,被测的DUT为4段传输线和一个电容,一个电感。 TDR测的结果如下: 信号到负载电容的时间为1.5ns,然…

Cesium源码分享--气泡窗

Cesium气泡窗插件 在线api文档说明 在线体验地址 更多案例地址 免费gis数据 ps:如果可以的话,希望大家能给我个star,好让我有更新下去的动力; 实现原理: Cesium和我们平时常见的leaflet、ol以及arcgis api是不一样…

组合数学公式

1、8个相同的球放进4个相同的盒子里,每盒至少一个,有几种方法 ? 公式:球相同,盒相同,拆分公式。 P4(8)P1(4)P2(4)P3(4)P4(4) 1211 5 2、8个相同的球放进4个不同的盒子里,每盒至少一个&#xff…

GPT学习笔记-聚类(clustering)

1. 什么是clustering 聚类是一种非常有用的无监督学习技术,它的主要目的是发现数据的内在结构和模式。在许多实际应用中,我们可能没有明确的目标变量或预测目标,但我们仍希望了解数据的组织方式,或者找出数据中的特定模式或组。这…

如何构造HTTP请求

直接通过浏览器地址栏 具体的流程,直接通过浏览器地址栏,输入一个url >构造出一个GET请求 html中,一些特殊标签,也会触发GET请求 1) link 2) script 3) img 4) a以上的几个标签都会触发Get请求了. form表单,可以触发GET和POST请求 form 的重要参数: action: 构造的 HTT…

【Redis面试点总结】

1、缓存 1.1、穿透 查询一个空数据,mysql也查不到也不会写入缓存可能导致多次请求数据库 方案一:缓存设空即可(可能发生数据不一致就是这条数据有了但此时缓存是空,消耗内存) 方案二:布隆过滤器&#x…

hive数据库hql基础操作02

1.内部表和外部表 默认情况下创建的表就是内部表,Hive拥有该表的结构和文件。换句话说,Hive完全管理表(元数据和数据)的生命周期,类似于RDBMS中的表。当你删除内部表时,它会删除数据以及表的元数据。可以使…

【python】价值25~30K的国外企业招聘面试考题

目录标题 前言案例介绍网站分析代码展示尾语 💝 前言 嗨喽~大家好呀,这里是魔王呐 ❤ ~! 今天的这个案例,是一位同学的面试题,人在国外,月薪25~30K 本来以为是难度很大的反pa、逆向或者算法之类的, 谁知道…

深度学习笔记1——CNN识别黑白手写数字

文章目录 摘要手写数字数据集(MNIST)卷积神经网络(Convolution Neural Network, CNN)模型架构搭建Softmax函数和CrossEntropy损失函数Adam 优化器 构造数据迭代器训练、验证、测试模型训练结果可视化 摘要 本文将介绍CNN的开山之…

读书笔记--读数学之美有感

大概是在10年前,无意间读到吴军老师撰写得数学之美,感觉吴老师对数学与信息论的结合讲述的太好了,吴老师结合自身的多年工作经历将信息技术中用到的数学,特别是数学里面的很多概率论、线性代数、模型算法、编解码规则等&#xff0…

gunicorn常用参数命令

Gunicorn 是一个 Python 的 WSGI HTTP 服务器。具有实现简单,轻量级,高性能等特点。更多介绍内容参考官网,这里介绍几个常用参数。 安装 pip3 install gunicorn通过输入gunicorn -v查看版本。 最简洁的启动。首先进入到项目目录,例如django项目和mana…

Vue中通过集成Quill富文本编辑器实现公告的发布。Vue项目中vue-quill-editor的安装与使用【实战开发应用】

前言 闲的无聊、给原有的系统添加一个公告的功能。就是后台可以写一些公告信息,然后前台可以看到发布的信息。一般来说一个公告就是一些文字描述图片视频等。还有排版样式啥的。使用文本编辑器就可以实现。然后正好用到了Quill,通过Quill富文本编辑器集成…

JS逆向 -- 某视频vurl值的加密分析

接上节课内容 JS逆向 -- 某视频vid值的加密分析 JS逆向 -- 某视频val值和pid值的加密分析 一、在上节课中有个vurl的值需要分析,具体内容如下 vurl: https://mp4play-hs-cdn.ysp.cctv.cn/o000017kuww.jbZe10002.mp4? sdtfrom4330701& guidlhsuf6ia_0rieucp…

进程性能分析工具 pidstat 和用 python 的 matplotlib 库输出分析图表

文章目录 前情提要效果展示pidstat 简介matplotlib 简介认识 figure 和 axes绘制曲线图绘制柱形图创建两个轴,将上面两种图形放到一个 figure 中Backends of matplotlib如何使用 WebAgg注意事项 前情提要 这段时间在忙服务器压测的工作,虽然我们程序里面…

五种高效的原型设计工具推荐

软件产品的诞生注定要经历一个过程:需求分析、设计、开发、测试和在线。在设计阶段,原型设计是软件设计和开发的重要保证。与其他工作一样,高效的原型设计需要相应工具的帮助来完成原型设计。在许多原型设计工具中,这里推荐了五种…

洛谷P1420-最长连号

洛谷P1420-最长连号 这个题目很入门,但是我第一次做怎么做都做不出来,看了几个代码,方法各式各样,这个我是我觉得最通俗易懂的一个, 循环外面的两个输入第一个cin是个数第二个是输入的第一个数,所以下面for循环的条件…

毕业论文之转化为三线表格(wps)

目录 一、前言 1.修改之前的表格 2. 修改完成后(三线表格式) 二、操作步骤 一、前言 在论文里面的表格要求是三线表格式的时候,就需要我们去把这个表格修改成三线表格式。 1.修改之前的表格 2. 修改完成后(三线表格式&…

Vulnhub靶机渗透:Raven1(超级详细)

Raven1 https://www.vulnhub.com/entry/raven-1,256/ kali:192.168.54.128 raven1:192.168.54.15 nmap扫描 端口扫描 # Nmap 7.93 scan initiated Thu May 18 16:41:33 2023 as: nmap --min-rate 20000 -p- -oN nmap/ports 192.168.54.15 Nmap scan report for 192.168.54.…