网络安全研究人员表示，他们发现了他们所说的第一次专门针对银行业的开源软件供应链攻击。

Checkmarx在上周发布的一份报告中表示：“这些攻击展示了先进的技术，包括通过附加恶意功能来针对受害银行的网络资产中的特定组件。”

“攻击者采用欺骗性的策略，如创建一个虚假的领英个人资料，以显得可信，并为每个目标定制指挥控制中心（C2），利用合法服务进行非法活动。”

npm包已经被报告和下架了。软件包的名称没有透露。

在第一次攻击中，恶意软件作者据称在2023年4月初通过伪装成目标银行的员工向npm注册中心上传了几个软件包。该模块附带了一个预安装脚本来激活感染序列。为了完成这个诡计，幕后的威胁者创建了一个假的LinkedIn页面。

一旦启动，脚本就决定主机操作系统是否是windows、linux或macos，然后使用Azure上的一个子域从远程服务器下载第二阶段恶意软件，该子域包含了该银行的名称。

“攻击者巧妙地利用Azure的CDN子域有效地传递了第二阶段的有效载荷，”Checkmarx研究人员说。“这种策略特别聪明，因为它绕过了传统的拒绝列表方法，因为Azure是合法的服务。”

在入侵中使用的第二阶段有效载荷是浩劫，一个开源的命令和控制（C2）框架，已经越来越多地受到恶意行为者的雷达，希望回避使用Cobalt Strike，Sliver和Brute Ratel所产生的检测。

在2023年2月检测到的针对另一家银行的不相关的攻击中，对手向npm上传了一个“精心设计的软件包，该软件包被融入受害银行的网站，并处于休眠状态，直到它被提示采取行动”。

具体来说，它被设计成秘密拦截登录数据，并将细节泄露到演员控制的基础设施中。

“供应链安全围绕着保护软件创建和分发的整个过程，从开发的初始阶段到交付给最终用户，”该公司说。

“一旦一个恶意的开源软件包进入管道，它基本上是一个瞬间的破坏-使任何后续的对策无效。换句话说，伤害已经造成。”

Group-IB在俄罗斯的分支机构F.A.C.T.表示，这一事件发生之际，讲俄语的网络犯罪集团Red Curr在2022年11月和2023年5月侵入了一家俄罗斯大型银行和一家澳大利亚公司，窃取公司机密和员工信息，这是一场复杂的网络钓鱼行动的一部分。

该公司表示：“在过去的四年半时间里，讲俄语的组织Red Curl【…】对来自英国、德国、加拿大、挪威、乌克兰和澳大利亚的公司实施了至少34次攻击。”

“超过一半的攻击——20次——是针对俄罗斯的。网络间谍的受害者包括建筑、金融、咨询公司、零售商、银行、保险和法律机构。”

金融机构也一直在接收端的攻击，利用网络注入工具包称为Dr IBAN利用受害者的电脑进行未经授权的交易，以规避银行采用的身份验证和反欺诈机制。

Cleafy的研究人员Federico Valentini和Alessandro Strino在2023年7月18日发布的分析报告中指出:”drIBAN的核心功能是ATS引擎（自动传输系统）。

“ATS是一种网络注入技术，它能改变用户实时进行的合法银行转账，改变受益人，并将钱转移到由TA或关联公司控制的非法银行账户，然后由TA或关联公司负责处理和洗黑钱。”