Fortinet：最新惡意套件趨勢提防Low File Count

自動化網絡保安服務方案供應商Fortinet發佈了FortiGuard Labs針對自2024年11月以來偵測到的惡意軟件套件報告，揭示了攻擊者針對系統漏洞所採用的各種技術。當中值得留意的策略包括為了逃避偵測而設計的低檔案數量套件、指令覆寫技術和誤植域名。

該分析透過FortiGuard Labs獨有、由人工智能驅動的OSS惡意軟件偵測系統，為不斷演變的威脅形勢和新興攻擊方法提供洞察。該報告概述了惡意軟件套件的主要趨勢及其對系統安全的潛在影響，並強調了有效偵測和安全策略在軟件環境中的重要性。

主要發現

FortiGuard Labs的分析揭示了一系列攻擊者用以入侵系統的技術：

惡意威脅指標分類

低檔案數量：大部分被偵測到的惡意軟件套件 (1,082個) 的檔案數量都很少，它們通常只包含最低限度的程式碼，從而避開偵測，但同時進行資料竊取、未經授權的存取或系統入侵等攻擊。常見指標包括指令覆寫和混淆技術，以隱藏惡意負載。這些策略會形成輕量級且難以察覺的威脅，卻能夠造成重大損害的攻擊。

可疑的安裝指令碼：威脅行為者往往會使用安裝指令碼，在安裝過程暗中部署有害程式碼。這些指令碼會修改安裝程序，在用戶不知情的情況下執行有害操作。例如，安裝指令碼可能包含用於資料外洩的HTTP POST請求、用於與外部伺服器通訊的可疑API，以及用於接收竊取資料的硬編碼URL (例如Discord webhooks)。這些操作均顯示該指令碼正在設定後門程式或準備對系統作出進一步的惡意活動。

缺乏資料庫：缺少資料庫URL的套件會引起對其合法性和透明性的疑慮，導致難以驗證來源或追蹤開發過程。惡意行為者可能會避免使用資料庫，以逃避審查並防止程式碼被檢查。缺乏資料庫URL，加上如可疑的API或URL的警示，增加了該套件被設計用於偵測或資料竊取的可能性。

可疑的URL：可疑URL是潛在惡意套件的重要指標，因為它們通常用於下載額外的負載，或與指令和控制 (C&C) 伺服器建立通訊。這些URL可能看似合法，掩飾其有害意圖以逃避偵測。常見的手法包括縮短URL、在值得信賴的平台上托管惡意內容，或將負載偽裝成安全檔案。在974個套件中，此類URL與資料竊取及進一步下載惡意軟件等風險相關。

可疑的API： API對於軟件功能至關重要，但也可能被用於執行有害行為。在681個偵測案例中，可疑的API被用來竊取資料、與C&C伺服器進行通訊或隱藏惡意意圖。這些API顯示惡意項目的潛在可能性，並突顯出仔細檢查API使用情況的重要性。

攻擊案例

惡意Python程式碼透過安裝檔案對開發人員進行攻擊： 最近發現的惡意Python套件利用setup.py檔案暗中收集系統資訊，並將資料傳送至攻擊者控制的遠端伺服器。這類攻擊突顯了開發人員在安裝不明來歷的套件時所面臨的風險，可能導致憑證和系統資料被盜取，甚至進一步的攻擊。

惡意Node.js指令碼收集敏感資料並發送給攻擊者：惡意指令碼旨在從受害者的設備上秘密收集敏感資訊，並透過Discord webhook將其發送至外部伺服器。在執行時，指令碼會擷取受害者設備的內部IP地址，並透過向網上API提出HTTPS請求來獲取外部IP地址，同時也收集系統詳細資料。結合內部和外部IP地址、DNS設定和用戶詳細信息，使攻擊極具侵入性，攻擊者能追蹤受害者的機器，並可能利用這些資訊進行進一步攻擊。

惡意 JavaScript程式碼下載並執行有害軟件： 最近發現的惡意JavaScript程式碼利用混淆技術來記錄按鍵動作以擷取私人信息，並將收集到的資料傳送至攻擊者控制的遠端伺服器。該指令碼還會安裝後門程式，提供遠端存取權，使攻擊者能竊取敏感資料並發動進一步攻擊，對受害者的私隱和系統完整性造成重大威脅。

FortiGuard Labs的分析數據揭示了各式各樣的惡意套件，展現出網絡罪犯所採用的多種策略。隨著網絡安全威脅的不斷演變，企業和個人必須時刻了解最新的威脅。定期進行系統更新、採用先進的威脅偵測，以及提供識別可疑行為的教育等主動防禦措施，對降低這些日益增加的風險至關重要。