研究人员检测到241个恶意npm和PyPI包分发挖矿软件

首页 > 宁静研究 > 宁静通报 > 宁静简讯

研究人员检测到241个恶意npm和PyPI包分发挖矿软件

宣布时间 2022-08-22

1、研究人员检测到241个恶意npm和PyPI包分发挖矿软件

据媒体8月19日报道，上周已发现了至少241个恶意的PyPI和npm包，这些包会在熏染Linux设备后会安装恶意挖矿软件。上周三，研究人员果然了在PyPI上发现的33个项目，可在熏染系统后启动开源门罗币加密矿工XMRig。在这些包被删除后，研究人员又发现了另一组具有相同payload的22个包。Sonatype在8月19日披露了186个npm域名抢注恶意包，它们均来自匿名帐户17b4a931，模仿了常用的http-errors JavaScript库。研究人员凭据技术指标推断，这241个恶意包由同一攻击者宣布。

https://www.bleepingcomputer.com/news/security/241-npm-and-pypi-packages-caught-dropping-linux-cryptominers/

2、新木马Grandoreiro主要针对墨西哥和西班牙等国家

8月18日，Zscaler ThreatLabz披露了新木马Grandoreiro针对墨西哥和西班牙等国家的攻击活动。该恶意软件至少自2017年以来一直活跃，此次攻击于2022年6月开始，而且目前仍在进行中。攻击者伪装成来自墨西哥总检察长办公室或西班牙公共部，最终payload利用从ASUSTEK偷来的证书签名，通过二进制填充的要领将巨细膨胀到400MB，来绕过沙箱分析。此外，最新的Grandoreiro变体新增了使用DGA进行C2通信的功效，这使得发现恶意软件的基础设施并将其拆除变得更难。

https://www.zscaler.com/blogs/security-research/grandoreiro-banking-trojan-new-ttps-targeting-various-industry-verticals

3、WP网站被入侵后显示伪造Cloudflare警报并安装恶意软件

8月18日，Sucuri称WordPress网站被入侵后会显示伪造的Cloudflare DDoS�；ひ趁�，来分发恶意软件。据悉，攻击者会入侵目标WordPress网站并植入一个混淆的JavaScript payload，它可显示一个伪造的Cloudflare DDoS�；そ缑�。之后，目标会被要求下载文件security_install.iso，其被描述为绕过DDoS验证所需的工具。打开该文件会看到security_install.exe，执行该EXE文件将安装恶意软件NetSupport RAT和Raccoon Stealer。

https://www.bleepingcomputer.com/news/security/wordpress-sites-hacked-with-fake-cloudflare-ddos-alerts-pushing-malware/

4、Proofpoint发现TA558攻击拉丁美洲酒店和旅游行业

Proofpoint在8月18日宣布了关于黑客团伙TA558的攻击活动的分析陈诉。TA558可能是一个出于经济动机的小型黑客团伙，自2018年以来开始活跃，主要针对位于拉丁美洲地域的酒店和旅游行业，有时也会针对西欧和北美地域。最近的活动中，攻击者从利用包罗宏的Microsoft Office附件，转而使用URL和ISO文件来实现初始熏染，此举可能是对微软决定默认阻止从网络下载文件中的宏做出的回应。

https://www.proofpoint.com/us/blog/threat-insight/reservations-requested-ta558-targets-hospitality-and-travel

5、爱沙尼亚政府声称已阻止Killnet团伙对其的DDoS攻击

据8月19日报道，爱沙尼亚政府声称自2007年以来最严重的DDoS攻击。此次攻击既针对公共机构，也针对私营公司，黑客组织Killnet声称对此次攻击卖力。此外，政府首席信息官驳倒了该组织关于200多个网站已被查封的说法，并体现E-Estonia已启动并运行，服务没有中断。爱沙尼亚计算机应急响应小组透露，包罗警察和政府在内的地方政府的网站以及一家物流公司遭到攻击。

https://securityaffairs.co/wordpress/134560/cyber-warfare-2/estonia-blocked-cyberattacks-killnet.html

6、Microsoft披露ChromeOS组件中内存损坏漏洞的细节

Microsoft在8月19日宣布了关于ChromeOS组件中内存损坏漏洞的技术分析陈诉。该漏洞追踪为CVE-2022-2587，CVSS评分为9.8，可被用来执行DoS，或者在极端情况下执行远程代码。该漏洞存在于Google Chrome音频服务器，可被远程攻击者通过特制的音频元数据利用。目前，该漏洞已被修复，尚未被在野利用。

https://www.microsoft.com/security/blog/2022/08/19/uncovering-a-chromeos-remote-memory-corruption-vulnerability/

7*24小时服务热线

400-624-3900

官方微信

官方微博

网御星云合众数据书生电子云子可信

执法声明

抖圈为赌而生

网络宁静防护

网络宁静检测

应用宁静

数据宁静

宁静管理

云宁静

工控宁静

移动及终端宁静

密码应用宁静

专业宁静服务

宁静运营中心

知白学院

威胁情报中心

宁静通报

研究陈诉

宁静团队

渠道体系

售后服务

升级通告

软件升级

公司概况

新闻动态

技术专题

人才招聘

投资者关系

资源中心

联系抖圈为赌而生

宁静研究