朝鲜 Lazarus 黑客通过 npm 软件包感染数百人

admin 2025年3月12日21:06:50评论16 views字数 1215阅读4分3秒阅读模式

朝鲜 Lazarus 黑客通过 npm 软件包感染数百人

关键词

恶意软件

朝鲜 Lazarus 黑客通过 npm 软件包感染数百人

在 npm(Node 包管理器)上发现了六个与臭名昭著的朝鲜黑客组织 Lazarus 有关的恶意软件包。

这些软件包已被下载 330 次,旨在窃取帐户凭证、在受感染的系统上部署后门以及提取敏感的加密货币信息。

Socket 研究团队发现了这一活动,并将其与之前已知的 Lazarus 供应链运营联系起来。

该威胁组织以将恶意软件推送到数百万 JavaScript 开发人员使用的 npm 等软件注册表并被动攻击系统而闻名。

在 GitHub和Python 软件包索引(PyPI)上发现了归因于同一威胁行为者的类似活动。

这种策略通常可以让他们初步获得对有价值网络的访问权,并进行大规模破纪录的攻击,例如最近对 Bybit 交易所进行的15 亿美元加密货币抢劫案。

在 npm 中发现的六个 Lazarus 软件包均采用了域名抢注策略来诱骗开发人员意外安装:

  1. is-buffer-validator – 模仿流行的 is-buffer 库来窃取凭证的恶意软件包。

  2. yoojae-validator – 用于从受感染系统中提取敏感数据的虚假验证库。

  3. event-handle-package – 伪装成事件处理工具,但部署了后门以进行远程访问。

  4. array-empty-validator – 旨在收集系统和浏览器凭证的欺诈性软件包。

  5. react-event-dependency – 伪装成 React 实用程序,但执行恶意软件来破坏开发人员环境。

  6. auth-validator –模仿身份验证验证工具来窃取登录凭据和 API 密钥。

这些软件包包含旨在窃取敏感信息的恶意代码,例如加密货币钱包和包含存储的密码、cookie 和浏览历史记录的浏览器数据。

他们还加载了 BeaverTail 恶意软件和 InvisibleFerret 后门,朝鲜之前曾在虚假工作机会中部署过这些恶意软件,从而导致安装恶意软件。

朝鲜 Lazarus 黑客通过 npm 软件包感染数百人

Socket 报告解释道:“该代码旨在收集系统环境详细信息,包括主机名、操作系统和系统目录。”

“它系统地迭代浏览器配置文件,以定位和提取敏感文件,例如 Chrome、Brave 和 Firefox 的登录数据以及 macOS 上的钥匙串档案。”

“值得注意的是,该恶意软件还针对加密货币钱包,特别是从 Solana 中提取 id.json 并从 Exodus 中提取 exodus.wallet。”

所有六个 Lazarus 软件包仍然可以在 npm 和 GitHub 存储库中使用,因此威胁仍然活跃。

建议软件开发人员仔细检查他们在项目中使用的软件包,并不断仔细检查开源软件中的代码,以查找混淆代码和对外部服务器的调用等可疑迹象。

来源:https://www.bleepingcomputer.com/news/security/north-korean-lazarus-hackers-infect-hundreds-via-npm-packages/

  END  

原文始发于微信公众号(安全圈):【安全圈】朝鲜 Lazarus 黑客通过 npm 软件包感染数百人

免责声明:文章中涉及的程序(方法)可能带有攻击性,仅供安全研究与教学之用,读者将其信息做其他用途,由读者承担全部法律及连带责任,本站不承担任何法律及连带责任;如有问题可邮件联系(建议使用企业邮箱或有效邮箱,避免邮件被拦截,联系方式见首页),望知悉。
  • 左青龙
  • 微信扫一扫
  • weinxin
  • 右白虎
  • 微信扫一扫
  • weinxin
admin
  • 本文由 发表于 2025年3月12日21:06:50
  • 转载请保留本文链接(CN-SEC中文网:感谢原作者辛苦付出):
                   朝鲜 Lazarus 黑客通过 npm 软件包感染数百人https://cn-sec.com/archives/3835110.html
                  免责声明:文章中涉及的程序(方法)可能带有攻击性,仅供安全研究与教学之用,读者将其信息做其他用途,由读者承担全部法律及连带责任,本站不承担任何法律及连带责任;如有问题可邮件联系(建议使用企业邮箱或有效邮箱,避免邮件被拦截,联系方式见首页),望知悉.

发表评论

匿名网友 填写信息