关键词
恶意软件
在 npm(Node 包管理器)上发现了六个与臭名昭著的朝鲜黑客组织 Lazarus 有关的恶意软件包。
这些软件包已被下载 330 次,旨在窃取帐户凭证、在受感染的系统上部署后门以及提取敏感的加密货币信息。
Socket 研究团队发现了这一活动,并将其与之前已知的 Lazarus 供应链运营联系起来。
该威胁组织以将恶意软件推送到数百万 JavaScript 开发人员使用的 npm 等软件注册表并被动攻击系统而闻名。
在 GitHub和Python 软件包索引(PyPI)上发现了归因于同一威胁行为者的类似活动。
这种策略通常可以让他们初步获得对有价值网络的访问权,并进行大规模破纪录的攻击,例如最近对 Bybit 交易所进行的15 亿美元加密货币抢劫案。
在 npm 中发现的六个 Lazarus 软件包均采用了域名抢注策略来诱骗开发人员意外安装:
-
is-buffer-validator – 模仿流行的 is-buffer 库来窃取凭证的恶意软件包。
-
yoojae-validator – 用于从受感染系统中提取敏感数据的虚假验证库。
-
event-handle-package – 伪装成事件处理工具,但部署了后门以进行远程访问。
-
array-empty-validator – 旨在收集系统和浏览器凭证的欺诈性软件包。
-
react-event-dependency – 伪装成 React 实用程序,但执行恶意软件来破坏开发人员环境。
-
auth-validator –模仿身份验证验证工具来窃取登录凭据和 API 密钥。
这些软件包包含旨在窃取敏感信息的恶意代码,例如加密货币钱包和包含存储的密码、cookie 和浏览历史记录的浏览器数据。
他们还加载了 BeaverTail 恶意软件和 InvisibleFerret 后门,朝鲜之前曾在虚假工作机会中部署过这些恶意软件,从而导致安装恶意软件。
Socket 报告解释道:“该代码旨在收集系统环境详细信息,包括主机名、操作系统和系统目录。”
“它系统地迭代浏览器配置文件,以定位和提取敏感文件,例如 Chrome、Brave 和 Firefox 的登录数据以及 macOS 上的钥匙串档案。”
“值得注意的是,该恶意软件还针对加密货币钱包,特别是从 Solana 中提取 id.json 并从 Exodus 中提取 exodus.wallet。”
所有六个 Lazarus 软件包仍然可以在 npm 和 GitHub 存储库中使用,因此威胁仍然活跃。
建议软件开发人员仔细检查他们在项目中使用的软件包,并不断仔细检查开源软件中的代码,以查找混淆代码和对外部服务器的调用等可疑迹象。
来源:https://www.bleepingcomputer.com/news/security/north-korean-lazarus-hackers-infect-hundreds-via-npm-packages/
END
原文始发于微信公众号(安全圈):【安全圈】朝鲜 Lazarus 黑客通过 npm 软件包感染数百人
- 左青龙
- 微信扫一扫
-
- 右白虎
- 微信扫一扫
-
评论