专栏首页腾讯安全应急响应中心【安全通知】NPM遭遇供应链投毒攻击窃取K8S集群凭证
原创

【安全通知】NPM遭遇供应链投毒攻击窃取K8S集群凭证

文|腾讯洋葱反入侵系统

七夜、xnianq、柯南

近日,腾讯洋葱反入侵系统检测发现 NPM官方仓库被上传了radar-cms 恶意包,并通知官方仓库下架处理。由于国内开源镜像站均同步于NPM官方仓库,所以该问题不仅会通过官方仓库,还可能通过各个开源镜像站影响广大用户。

腾讯安全应急响应中心(TSRC)秉承共建安全生态的原则,在此建议各开源镜像站以及对开源镜像站有依赖的组织和公司,请尽快自查处理,确保恶意库得到清除,保障用户安全。

0x01 事件描述

12月23号 03:32 攻击者在NPM官方仓库上传了radar-cms 恶意包(https://www.npmjs.com/package/radar-cms),包代码和主页完全复制TypeChain 正常包,有可能是为了绕过信誉检查,目前已下载40余次。

0x02 手法分析

radar-cms包 恶意功能触发方式相对常见,在package.json 中的postinstall字段添加了一段恶意命令,功能是在安装radar-cms包时,窃取 kubeconfig文件,kerberos凭据,/etc/passwd,/etc/hosts等敏感文件。

其中 kubeconfig 文件 是用于配置k8s集群访问信息的文件。在开启了 TLS 的集群中,每次与集群交互时都需要身份认证,生产环境一般使用证书进行认证,其认证所需要的信息会放在 kubeconfig 文件中。此外,k8s 的组件都可以使用 kubeconfig 连接 apiserver,client-go 、operator、helm 等其他组件也使用 kubeconfig 访问 apiserver。

相比于之前发现的多起NPM投毒案例,此次投毒的目的有些许变化,此前投毒以控制主机为主要目的,而此次更加倾向于攻击云原生基础设施,窃取关键配置文件,这可能与云原生的火热发展有关。

0x03 相关IoC

域名:

entfet95itcxpuu.m.pipedream.net

0x04 尾声

近几年脚本语言社区因管控薄弱、攻击成本低成为软件供应链攻击的重灾区,到目前为止,腾讯洋葱反入侵系统已经发现多起严重的软件源投毒事件,并向业界提前发出通知。

【安全通知】PyPI 官方仓库遭遇covd恶意包投毒

【安全通知】PyPI 官方仓库遭遇request恶意包投毒

【安全通知】腾讯洋葱反入侵系统检测到多例恶意Python库供应链投毒

【安全通知】知名端口转发工具rinetd遭高仿投毒

同时,我们秉承共建安全生态的原则,主动向外界分享了洋葱反入侵系统针对软件源投毒场景的检测方案。

源头之战,不断升级的攻防对抗技术 —— 软件供应链攻击防御探索

兵无常势,水无常形,黑客投毒的手法越来越隐蔽,攻防对抗的难度也随之不断升级,唯有一直紧跟技术发展趋势,持续不断进阶,才能在安全攻防对抗中取得先机。

0x05 洋葱反入侵系统介绍

洋葱端点检测与响应系统(EDR)是腾讯公司以腾讯百万级服务器端点防护体系为核心面向企业客户提供的一套服务器端点安全解决方案,方案由轻量级的端点agent和服务管理端系统构成。

洋葱EDR管理系统支持集中的资产管理、安全入侵事件监测、安全审计、安全漏洞、安全基线等,支持对安全事件的精准判断,对服务器安全事件的溯源审计,并进行服务器端的脆弱性安全检测,包含安全基线,安全漏洞检测。

洋葱EDR产品也支持提供API接口,实现外联第三方防护安全产品的联动响应处置。从而构建云+端的新一代的纵深防护体系。

原创声明,本文系作者授权云+社区发表,未经许可,不得转载。

如有侵权,请联系 yunjia_community@tencent.com 删除。

我来说两句

0 条评论
登录 后参与评论

相关文章

  • “安全需要每个工程师的参与”-DevSecOps理念及思考

    多年来,软件开发以及其引发的信息安全领域总是相生相伴地持续发展。安全领域一直在适应软件研发的流程和模式,为研发出更加安全的系统保驾护航。最近几年,国内越来越多的...

    腾讯安全应急响应中心
  • 物联网安全系列之探索IoT通信安全的研究之道

    通信作为IoT系统架构的重要组成部分,是新基建时代的万物互联的连接器,也自然成为了IoT安全研究员们关注的重点,本文整理自Tencent Blade Team在...

    腾讯安全应急响应中心
  • 流量分析在安全攻防上的探索实践

    前段时间,lake2与大家分享了从网络流量层针对IDS/IPS进行绕过的一些尝试研究,其中埋了个坑“感谢宙斯盾的球头人牛长一起测试这个代号007的项目,后面的流...

    腾讯安全应急响应中心
  • 2021,你需要关注的云安全趋势都在这里

    在新基建快速发展的浪潮之下,云成为承载企业数字化转型升级的核心基础设施之一,随着越来越多企业选择上云、大量企业数据、交易场景迁移至云端。云安全与否,和未来数字经...

    腾讯安全
  • 日均拦截攻击10W次,腾讯乐享怎么做全链路安全防护?

    登录腾讯乐享、发个乐问、创建考试、导出成员考试分数…… 这些轻松易用的工具,可能是许多腾讯乐享管理员和使用者的日常体验。 但在这看似简单普通的流程背后,其实“...

    腾讯乐享
  • SDNLAB技术分享(十八):软件定义安全-SDN/NFV新型网络的安全揭秘

    1 大背景 1.1 SDx背景 ? 我比较喜欢用这张图作为开场白,在数据中心中,计算和存储的发展非常快,但是网络相对而言还是比较初级。这一点从Opentack的...

    SDNLAB
  • CSS2018丨首个云安全智囊团酝酿成立,驱动「智慧安全」持续升级

     导读: 云时代我们需要什么样的安全?8月28日下午,以「智慧安全 助力云时代」为主题的第四届互联网安全领袖峰会((Cyber Security Summit...

    腾讯云安全
  • 云安全问题(第2部分):从何处下手

    上周,我们发布了两部分文章的第1部分,介绍公司可以采用低悬挂的最佳安全方法来改善他们的安全状况。由于安全不再仅仅是安全专家的领域,因此公司中的每个人不管身居何职...

    mark_fuck
  • 云靶场、实战攻防、前沿趋势...本届云安全挑战赛的看点都在这里

    10月24日,由腾讯安全云鼎实验室联合GeekPwn发起的第二届云安全比赛在上海落下帷幕,包括Nu1L、r3kapig、NeSE、0ops、天枢 Dubhe等7...

    腾讯安全
  • 腾讯副总裁丁珂对话方滨兴院士:如何构建数字经济时代的新安全体系

    9月11号,中国工程院院士方滨兴、腾讯副总裁丁珂共同出席了2020腾讯数字生态大会CSS互联网安全领袖峰会“产业安全|对话院士”环节,苇草智酷创始合伙人、信息社...

    腾讯安全

扫码关注云+社区

领取腾讯云代金券