锁定NPM套件用户的供应链攻击，攻击者混入合法工具窃取浏览器帐密

攻击者利用提供开发者工具的名义来发动攻击，并且运用合法的软件，而让人难以察觉意图。恶意软件分析解决方案业者ReversingLabs近期揭露了一起结合上述型态的攻击行动，他们在名为nodejs_net_server的NPM套件里，发现攻击者疑似为了企图窃取开发者浏览器的帐密资料，嵌入了合法工具ChromePass。而这个NPM套件已被近1,300个开发者下载。NPM获报后，已于7月21日将nodejs_net_server，以及同作者另一个疑似测试用的tempdownloadtempfile下架。

针对这个NPM套件，ReversingLab指出，他们最早是在程式库资料夹（lib）里发现名为a.exe的档案，由于怪异的档案命名方式而引起他们的注意，经过分析之后，研究人员确认这是上述提及的ChromePass软件，而这个软件原本的用途，是能够协助使用者复原Chrome浏览器的帐密。

研究人员表示，ChromePass本身无害，但这起攻击行动中，提供NPM套件的开发者疑似是要运用它的帐密复原功能，来偷取帐密资料。

而在nodejs_net_server的网页中，这个套件是ID名称为chrunlee的人士开发，最新版本为1.1.2，约于6个月前上架。而ReversingLab指出，该套件自2019年2月底推出以来，总共有12个版本，而其中的初始版本1.0.0，疑似只是测试NPM网站的上架流程，但间隔约3个月后的版本，就开始具备远端壳层（Remote Shell）的功能，不过，究竟这个壳层的用途为何，ReversingLab并未说明。

直到2020年12月的1.1.0版，ReversingLab发现开发者加入了新的程式码，从自家网站（hxxps://chrunlee.cn）下载前面提及的a.exe，而后续的1.1.1和1.1.2版，则将程式码修改成执行TeamViewer.exe。为何出现这样的改变？研究人员认为，开发者很可能是不想让恶意软件与自己的网站之间，存在明显的关连。

除此之外，研究人员发现攻击者在1.1.1和1.1.2版套件里，很可能是为了测试ChromePass的功能，而不慎将自己电脑的Chrome浏览器帐密汇出，并存放于文字档案a.txt，该文字档与a.exe储存在相同的资料夹。这些被包入套件的资料总共有282组帐密，建立的时间自2020年3月20日至12月2日。ReversingLab认为，很可能尚有部分是有效资料。