这种大胆的妥协方法让黑客能够进入开源软件供应链。

最近在npm注册表中发现了一个恶意软件包，该软件包会向受感染的Windows计算机部署复杂的远程访问木马 ( RAT ) 。该软件包名为“os兼容”，于 2024 年 1 月 9 日发布，在被删除之前已被下载 380 次。

软件供应链安全 公司Phylum报告称 ，“os兼容”包含一个可执行文件、一个动态链接库 ( DLL ) 和一个加密的 DAT 文件，以及一个JavaScript文件。

在攻击过程中，JavaScript 文件（“index.js”）运行“autorun.bat”脚本，该脚本首先检查与Microsoft专有操作系统的兼容性，如果正常，则检查管理权限。如果它们不存在，则攻击将使用通过PowerShell启动的合法Edge浏览器组件“cookie_exporter.exe” 。

运行可执行文件会触发用户帐户控制 ( UAC ) 提示，需要管理凭据才能执行。

然后，攻击者使用DLL 搜索顺序劫持技术 启动上述 DLL（“msedge.dll”）来执行下一阶段的攻击。

该库的特洛伊版本旨在解密 DAT 文件（“msedge.dat”）并启动另一个库（“msedgedat.dll”），该库建立与黑客控制的域“kdark1[.]com”的连接以获取 ZIP 存档。

该存档包含AnyDesk 远程访问软件和远程访问木马，也打包在 DLL 库（“verify.dll”）中。该木马能够通过WebSockets接收来自命令和控制服务器的指令，并从主机收集敏感信息。

Phylum 报告称，该木马还在安全首选项文件中安装恶意扩展程序，该文件存储Chrome浏览器设置、与 AnyDesk 建立通信、运行虚假的 Windows 10 更新动画并阻止 Windows 关闭。

此时，攻击者可以对受感染电脑的程序和文件执行任何操作，而用户将无法发现这一点，甚至除了通过电源上的按钮以外的任何方式关闭电脑。通常没有人采取这种紧急措施，因此黑客肯定有足够的时间来实施任何恶意计划。

虽然“os兼容”似乎是该活动中使用的唯一 npm 模块，但研究人员的发现再次表明，攻击者越来越多地针对开源软件生态系统来进行供应链攻击。

Phylum 指出，“与通常用于攻击开源生态系统的过程相比，解密数据、使用已撤销的证书进行签名、从远程源下载其他文件以及尝试伪装成标准 Windows 更新过程相对复杂。”

Phylum 的调查是 在Aqua Security 的一份报告的背景下发布的，该报告显示，下载最多的 50,000 个 npm 软件包中约有 21% 已过时，使用户面临安全风险。这包括与包关联的已归档和已删除的 GitHub 存储库，以及那些在没有可见存储库、提交历史记录或问题跟踪的情况下维护的包。