研究人员检测到241个恶意npm和PyPI包分发挖矿软件

发布时间 2022-08-22
1、研究人员检测到241个恶意npm和PyPI包分发挖矿软件

      

据媒体8月19日报道,上周已发现了至少241个恶意的PyPI和npm包,这些包会在感染Linux设备后会安装恶意挖矿软件。上周三,研究人员公开了在PyPI上发现的33个项目,可在感染系统后启动开源门罗币加密矿工XMRig。在这些包被删除后,研究人员又发现了另一组具有相同payload的22个包。Sonatype在8月19日披露了186个npm域名抢注恶意包,它们均来自匿名帐户17b4a931,模仿了常用的http-errors JavaScript库。研究人员根据技术指标推断,这241个恶意包由同一攻击者发布。


https://www.bleepingcomputer.com/news/security/241-npm-and-pypi-packages-caught-dropping-linux-cryptominers/


2、新木马Grandoreiro主要针对墨西哥和西班牙等国家

      

8月18日,Zscaler ThreatLabz披露了新木马Grandoreiro针对墨西哥和西班牙等国家的攻击活动。该恶意软件至少自2017年以来一直活跃,此次攻击于2022年6月开始,并且目前仍在进行中。攻击者伪装成来自墨西哥总检察长办公室或西班牙公共部,最终payload利用从ASUSTEK偷来的证书签名,通过二进制填充的方法将大小膨胀到400MB,来绕过沙箱分析。此外,最新的Grandoreiro变体新增了使用DGA进行C2通信的功能,这使得发现恶意软件的基础设施并将其拆除变得更难。


https://www.zscaler.com/blogs/security-research/grandoreiro-banking-trojan-new-ttps-targeting-various-industry-verticals


3、WP网站被入侵后显示伪造Cloudflare警报并安装恶意软件

      

8月18日,Sucuri称WordPress网站被入侵后会显示伪造的Cloudflare DDoS保护页面,来分发恶意软件。据悉,攻击者会入侵目标WordPress网站并植入一个混淆的JavaScript payload,它可显示一个伪造的Cloudflare DDoS保护界面。之后,目标会被要求下载文件security_install.iso,其被描述为绕过DDoS验证所需的工具。打开该文件会看到security_install.exe,执行该EXE文件将安装恶意软件NetSupport RAT和Raccoon Stealer。


https://www.bleepingcomputer.com/news/security/wordpress-sites-hacked-with-fake-cloudflare-ddos-alerts-pushing-malware/


4、Proofpoint发现TA558攻击拉丁美洲酒店和旅游行业

      

Proofpoint在8月18日发布了关于黑客团伙TA558的攻击活动的分析报告。TA558可能是一个出于经济动机的小型黑客团伙,自2018年以来开始活跃,主要针对位于拉丁美洲地区的酒店和旅游行业,有时也会针对西欧和北美地区。最近的活动中,攻击者从利用包含宏的Microsoft Office附件,转而使用URL和ISO文件来实现初始感染,此举可能是对微软决定默认阻止从网络下载文件中的宏做出的回应。


https://www.proofpoint.com/us/blog/threat-insight/reservations-requested-ta558-targets-hospitality-and-travel


5、爱沙尼亚当局声称已阻止Killnet团伙对其的DDoS攻击

      

据8月19日报道,爱沙尼亚当局声称自2007年以来最严重的DDoS攻击。此次攻击既针对公共机构,也针对私营公司,黑客组织Killnet声称对此次攻击负责。此外,政府首席信息官驳斥了该组织关于200多个网站已被查封的说法,并表示E-Estonia已启动并运行,服务没有中断。爱沙尼亚计算机应急响应小组透露,包括警察和政府在内的地方当局的网站以及一家物流公司遭到攻击。


https://securityaffairs.co/wordpress/134560/cyber-warfare-2/estonia-blocked-cyberattacks-killnet.html 


6、Microsoft披露ChromeOS组件中内存损坏漏洞的细节

      

Microsoft在8月19日发布了关于ChromeOS组件中内存损坏漏洞的技术分析报告。该漏洞追踪为CVE-2022-2587,CVSS评分为9.8,可被用来执行DoS,或者在极端情况下执行远程代码。该漏洞存在于Google Chrome音频服务器,可被远程攻击者通过特制的音频元数据利用。目前,该漏洞已被修复,尚未被在野利用。


https://www.microsoft.com/security/blog/2022/08/19/uncovering-a-chromeos-remote-memory-corruption-vulnerability/