隐藏在开源软件中的密码窃取恶意软件 – 该怎么做

自 2020 年 12 月以来,从谷歌浏览器窃取密码、还可以截取屏幕截图和使用笔记本电脑摄像头的恶意恶意软件已被隐藏在一个广泛使用的软件存储库中,并且不知道有多少应用程序和其他程序可能因此被感染”供应链”攻击。

恶意软件已从软件存储库中删除,但损坏已经完成。 如果您碰巧运行了软件开发人员不知道的包含这种隐藏恶意软件的软件,则您可能已被监视并且密码被盗。 不幸的是,我们还不知道使用这些损坏的组件构建了什么。

新的 Windows 11 和 10 漏洞可让任何人接管您的 PC 该怎么做最好的互联网安全套件加: 如何全新安装 Windows 11

您可能永远不会真正知道您的密码是否被盗或您的隐私是否以这种方式受到损害。 但该事件凸显了让您的网络浏览器保存密码的危险,因为浏览器仍然太容易被入侵。

与其将密码保存在浏览器中,不如使用最好的密码管理器之一,或者将密码写在书本或纸上,并将其保存在安全的地方。

一个关于滥用信任的扭曲故事

根据一个 博文 昨天(7 月 21 日),来自波士顿地区安全公司 Reversing Labs 的恶意软件滥用了一个合法的免费 Windows 密码恢复工具,名为 ChromePass 正如 ChromePass 页面所述,“允许您查看 Google Chrome Web 浏览器存储的用户名和密码。”

ChromePass 本身很好而且很有用,尽管它确实显示了从 Chrome 获取保存的密码是多么容易。 (它也被许多最好的防病毒程序标记为恶意软件。)

那么恶意软件是如何进入软件存储库的呢? 这很复杂,但我们会尽量简短。

许多应用程序实际上是网络浏览器

数百个桌面应用程序,包括 Discord、Microsoft Teams、Slack 和 Spotify,都是使用网络浏览器技术构建的。 (这并不意味着它们被感染了。)这些应用程序在某种程度上是 Chromium 的修改版本,Chromium 是一种开源浏览器,用作 Chrome、Microsoft Edge、Opera 和其他网络浏览器的基础。

它们和数以千计的其他软件都依赖于 JavaScript,JavaScript 是 1995 年为 Netscape Navigator 开发的一种软件语言,它是第一个广泛使用的 Web 浏览器。 JavaScript 非常通用且易于使用,现在它被广泛用于浏览器之外的各种用途。

为了在浏览器之外运行 JavaScript,许多开发人员使用称为 Node.js 的东西。 Node.js 最大的代码存储库称为 Node Package Manager,或 NPM。

NPM 不仅仅是代码缓存,还是一个应用程序,通过它您可以获取超过一百万个 JavaScript“包”,即 JavaScript 的模块化块,然后您可以在开发软件时将其用作构建块。 您必须为其中一些软件包付费,但其中大部分都可以免费使用。

诱杀软件

任何人都可以向 NPM 贡献一个包,其中包括具有恶意目的的人。 在这种情况下,有人构建了一个名为“nodejs_net_server”的免费但伪造的 JavaScript 包,其中包含 ChromePass 密码提取器并将其添加到 NPM。 该恶意软件包还可以截取屏幕截图并使用 PC 的网络摄像头。

第二个功能少得多的恶意 JavaScript 包,称为“tempdownloadtempfile”,由同一个人上传到 NPM。

根据 Reversing Labs 的说法, 哔哔电脑威胁邮报,这两个软件包分别被软件开发人员下载了近 1,300 次和 800 多次。

这些开发人员几乎没有机会真正了解他们得到了什么。 但是当 nodejs_net_server 安装在开发人员的 PC 上时,它会将自己嵌入到一个广泛使用的 JavaScript 包中,称为“jstest”,以确保它不能被删除。

目前,我们不知道有多少软件(包括桌面应用程序)是使用这些恶意 JavaScript 包构建的。 我们不知道有多少最终用户被监视。 我们可能会在未来几天和几周内了解更多信息。

但结果是:不要在您的网络浏览器中保存您的密码,尤其是可以解锁银行账户、在线电子邮件服务或社交媒体账户的敏感密码。

使用密码管理器。 并使用最好的 Windows 10 防病毒程序之一来捕获至少一些恶意程序包。

今日最佳 LastPass 优惠最后通行证LastPass 高级版3 美元/月最后通行证最后通行证LastPass 系列4 美元/月最后通行证

相关阅读:

Posted in: 隐私安全