【安全资讯】恶意NPM包利用Unicode隐写术逃避检测

概要：

近期，安全研究人员发现一个恶意的Node Package Manager（NPM）包利用不可见的Unicode字符隐藏恶意代码，并通过Google日历链接托管命令与控制（C2）位置。该包名为os-info-checker-es6，自本月初以来已被下载超过1000次，显示出其潜在的安全威胁。

主要内容：

os-info-checker-es6最初于3月19日被添加到NPM索引中，最初版本仅收集操作系统信息。几天后，作者对其进行了修改，加入了特定平台的二进制文件和混淆的安装脚本。5月7日，恶意版本发布，包含了一个复杂的C2机制，能够传递最终有效载荷。该包目前被列为四个其他NPM包的依赖项，这些包伪装成无障碍和开发平台工程工具。

在恶意版本中，攻击者将数据嵌入到看似是'|'的字符串中，后面跟随一长串来自变体选择器补充范围（U+E0100到U+E01EF）的不可见Unicode字符。这些字符通常用作修饰符，但在此案例中，它们用于文本隐写术，隐藏信息。Veracode解码后发现，恶意代码通过Google日历短链接访问最终有效载荷。

研究人员指出，该请求期望在响应体中接收一个基础编码的二阶段恶意软件有效载荷，并可能在HTTP头中包含初始化向量和密钥，暗示最终有效载荷可能被加密。尽管Veracode已向NPM报告了这些发现，但可疑包仍然存在于平台上，显示出网络安全领域的持续挑战。