新型NPM包利用QR碼獲取Cookie的惡意軟件

近期發(fā)現(xiàn)的npm包“fezbox”通過二維碼從攻擊者服務(wù)器獲取竊Cookie惡意軟件。該包偽裝成實用工具庫，借助這種新穎的隱寫技術(shù)，從受感染設(shè)備中竊取用戶憑據(jù)等敏感數(shù)據(jù)。

二維碼再添惡意用途

二維碼傳統(tǒng)上為方便使用而設(shè)計，用于承載營銷內(nèi)容或分享鏈接，但攻擊者已為其找到新用途——在二維碼內(nèi)部隱藏惡意代碼。

本周，Socket威脅研究團隊發(fā)現(xiàn)一款名為“fezbox”的惡意包被發(fā)布至npmjs.com（全球最大的JavaScript與Node.js開源包倉庫）。該惡意包包含隱藏指令，會先獲取一張內(nèi)含二維碼的JPG圖片，隨后對圖片進行處理，運行攻擊流程中的第二階段混淆載荷。

據(jù)npmjs.com數(shù)據(jù)顯示，在倉庫管理員下架該包前，其下載量至少已達327次。

fezbox 惡意軟件包在 npmjs.com 上

反向存儲惡意URL規(guī)避檢測

已確認，以1.3.0版本為例，惡意載荷主要存在于包內(nèi)的dist/fezbox.cjs文件中。Socket威脅分析師Olivia Brown解釋：“文件中的代碼經(jīng)過了壓縮，格式化后可讀性會顯著提升。”代碼中的條件判斷語句會先檢測應(yīng)用是否運行在開發(fā)環(huán)境中。

這通常是一種隱蔽策略。威脅者不想在虛擬環(huán)境或非生產(chǎn)環(huán)境中暴露行蹤，因此常會為漏洞利用的運行時機和方式設(shè)置防護欄。若未處于開發(fā)環(huán)境，代碼會在120秒后解析并執(zhí)行來自反向字符串所指向的二維碼中的代碼。

在CJS文件中反向存儲的惡意鏈接

上圖截圖中的字符串反轉(zhuǎn)后為：hxxps://res[.]cloudinary[.]com/dhuenbqsq/image/upload/v1755767716/b52c81c176720f07f702218b1bdc7eff_h7f6pn.jpg

Brown表示，將URL反向存儲是攻擊者的隱蔽手段，目的是繞過代碼中查找“以http(s)://開頭的URL”的靜態(tài)分析工具。

二維碼藏混淆代碼，專攻Cookie竊取

URL指向的二維碼有別于日常營銷或商務(wù)場景中常見的二維碼——它的密度異常高，承載的數(shù)據(jù)量遠超普通二維碼。

事實上，測試發(fā)現(xiàn)，普通手機攝像頭無法穩(wěn)定識別其二維碼。威脅者專門設(shè)計這款條碼，用于傳遞可被“fezbox”包解析的混淆代碼。

Brown解釋，該混淆載荷會通過document.cookie讀取Cookie數(shù)據(jù)：“隨后它會獲取用戶名和密碼，這里同樣使用了字符串反轉(zhuǎn)的混淆手段（如將password寫為drowssap）。”

若竊取的Cookie中同時包含用戶名和密碼，載荷會通過HTTPS POST請求將信息發(fā)送至https://my-nest-app-production[.]up[.]railway[.]app/users；若不滿足條件，則靜默退出，不執(zhí)行任何操作。

攻擊創(chuàng)新點：無需人工介入的二維碼濫用

此前，我們已見過無數(shù)二維碼在社會工程學(xué)騙局中的應(yīng)用——從虛假問卷到偽造“停車罰單”等，但這類場景均需人工介入（例如用戶掃描二維碼后被引導(dǎo)至釣魚網(wǎng)站）。

而Socket本周的發(fā)現(xiàn)展現(xiàn)了二維碼濫用的新套路：受感染設(shè)備可通過二維碼與命令控制（C2）服務(wù)器通信，且在代理或網(wǎng)絡(luò)安全工具看來，這種通信與普通的圖片傳輸流量并無二致。

傳統(tǒng)隱寫術(shù)常將惡意代碼隱藏在圖片、媒體文件或元數(shù)據(jù)中，而此次攻擊更進一步，印證了威脅者會利用任何可用載體實施攻擊的趨勢。

參考及來源：https://www.bleepingcomputer.com/news/security/npm-package-caught-using-qr-code-to-fetch-cookie-stealing-malware/