发现超过1000个恶意软件包使用低文件数、可疑安装和隐藏API。从FortiGuard Labs的分析中了解关键检测方法。

自2024年11月以来，Fortinet的FortiGuard实验室一直在监控和分析网络犯罪分子用来入侵系统的恶意软件包和技术。该公司成功确定了主要趋势和攻击方法，为应对这一不断演变的威胁提供了宝贵的见解。

该分析在周一发布之前分享，强调了几个令人担忧的模式。许多软件包的文件数量很少，通常包含最少的代码，旨在在执行有害操作时逃避标准检测机制。此外，许多软件包包含可疑的安装脚本，在安装过程中悄悄部署恶意代码。

值得注意的是，1082个软件包使用了最少的代码，且文件数量较少，从而便于实施隐蔽的恶意操作；约1052个软件包使用了可疑的安装脚本，从而便于悄悄部署恶意代码；1043个软件包缺少存储库URL；974个软件包包含用于命令和控制(C2)服务器通信的可疑 URL；681个软件包利用了可疑API；537个软件包的描述为空，从而有效地掩盖了其恶意意图。最后，164个软件包使用了异常高的版本号。

FortiGuard Labs重点介绍了几起攻击案例，包括利用安装文件收集系统信息并将其发送到远程服务器的恶意Python包。还发现了恶意Node.js脚本，旨在秘密收集敏感数据并通过Discord webhook将其发送到外部服务器。此外，还发现了恶意JavaScript代码，利用混淆技术掩盖其真实意图并安装后门以进行远程访问。

缺少存储库URL引发了人们对这些软件组件的合法性和可追溯性的担忧。这种策略有助于恶意行为者逃避审查并阻止代码检查，因为如果没有公共存储库，验证来源或评估潜在的安全问题几乎是不可能的。

许多软件包包含可疑URL，可能有助于C2通信或导致数据泄露。攻击者采用各种策略来伪装这些URL，例如使用缩短或动态链接或在受信任的平台上托管恶意内容。

低文件数软件包的趋势是一种重要的规避策略。攻击者经常利用命令覆盖机器学习标记的异常和混淆技术来隐藏其恶意负载。这些轻量级威胁旨在绕过传统的安全措施，使其难以被发现。

使用可疑API(例如用于HTTP请求的API)表示试图窃取数据或建立远程控制。它们可能包括用于窃取数据的HTTP POST请求、用于外部通信的可疑API调用以及用于接收被盗数据的硬编码URL。

有些软件包的描述很空洞，版本号也非常高，目的是误导用户相信过时或可能有害的软件。可疑的安装脚本可以修改标准安装过程，在用户不知情的情况下执行有害操作。

这些发现凸显了网络犯罪分子采用的多种方法；从使用轻量级、规避性软件包到利用安装脚本和API，攻击者不断调整他们的技术。因此，组织和个人必须保持警惕，实施主动防御措施，例如定期系统更新、高级威胁检测和用户教育，以减轻这些日益增长的风险。

Bambenek Consulting总裁John Bambenek对这些发现发表评论说： “以开源库形式上传的恶意软件包是让机器执行恶意指令的简单方法。它们不是在安装特定库时验证其声誉的好工具，一旦安装，开发人员就需要返回并重构代码以将其删除，” John解释道。“这项研究开始列出一些属性，如果自动化CI/CD管道在代码投入生产之前构建了检查这些属性的功能，那么这些属性有朝一日可能成为可疑库的指标。”