專門針對開發人員，攻擊者利用Rust獲取操作系統信息

近日，研究人員在 Rust 編程語言的 crate 注冊表中發現了一些惡意軟件包，專門針對開發人員。

Phylum 在上周發布的一份報告中稱，這些庫是由一個名為 "amaperf "的用戶在 2023 年 8 月 14 日至 16 日之間上傳的。現已刪除的軟件包名稱包括：postgress、if-cfg、xrvrv、serd、oncecell、lazystatic 和 envlogger。

目前還不清楚該活動的最終目的是什么，但發現這些可疑模塊都帶有捕獲操作系統信息（即 Windows、Linux、macOS 或未知）的功能，并通過消息平臺的 API 將數據傳輸到硬編碼的 Telegram 頻道。

這表明該活動可能處于早期階段，威脅行為者可能已經撒下一張大網，攻陷盡可能多的開發人員計算機，從而提供具有更強數據滲出能力的流氓更新。

該公司表示：由于可以訪問 SSH 密鑰、生產基礎設施和公司 IP，開發人員現在成了極有價值的目標。

這并不是 crates.io 第一次成為供應鏈攻擊的目標。2022 年 5 月，SentinelOne 揭露了一個名為 CrateDepression 的活動，該活動利用錯別字技術竊取敏感信息并下載任意文件。

此次披露的同時，Phylum 還揭露了一個名為 emails-helper 的 npm 軟件包，該軟件包一旦安裝，就會設置一個回調機制，將機器信息外泄到遠程服務器，并啟動隨附的加密二進制文件，作為復雜攻擊的一部分。

該模塊被宣傳為 "根據不同格式驗證電子郵件地址的 JavaScript 庫"，目前已被 npm 下架，但自 2023 年 8 月 24 日上傳到軟件倉庫以來，已吸引了 707 次下載。

該公司表示：攻擊者試圖通過 HTTP 進行數據滲透，如果失敗，攻擊者就會轉而通過 DNS 進行數據滲透。二進制文件部署了滲透測試工具，如 dnscat2、mettle 和 Cobalt Strike Beacon。

對于開發人員來說，像運行 npm install 這樣的簡單操作就能引發這個精心設計的攻擊鏈，因此開發人員在進行軟件開發活動時必須謹慎。

Python 軟件包索引（PyPI）上也發現了惡意軟件包，這些軟件包試圖從受感染的系統中竊取敏感信息，并從遠程服務器下載未知的第二階段有效載荷。