【威胁情报】朝鲜Lazarus组织传播恶意npm包感染案例

admin
admin
admin
138635
文章
114
评论
2025年3月18日18:43:39评论13 views字数 3139阅读10分27秒阅读模式
【威胁情报】朝鲜Lazarus组织传播恶意npm包感染案例

近日,经证实朝鲜Lazarus黑客组织通过npm(Node Package Manager)存储库分发恶意软件,造成数百名开发者受损。

目前发现的恶意包的下载次数确认约为330次。但是,如果下载此软件包的开发人员已经构建了包含该软件包的各种应用程序,那么不知情的用户在安装或运行该应用程序时可能会间接感染恶意软件。这是软件供应链攻击的典型例子,可能造成大范围的破坏。

案例摘要

  • 发现恶意软件包数量:共 6 个

  • 下载次数:约330次

  • 攻击手法:利用域名抢注,通过流行软件包中的拼写错误来诱骗开发人员安装恶意软件包。

下面列出了六种存在问题的恶意 npm 包。

【威胁情报】朝鲜Lazarus组织传播恶意npm包感染案例

主要内容

  • 识别出的恶意软件包:发现六个与 Lazarus 组织有关的恶意 npm 软件包,这些恶意软件包至少被下载了 330 次。

  • 攻击技术:这些软件包使用域名抢注技术,在开发人员访问流行软件包名称时,通过在流行软件包名称中输入拼写错误来诱骗开发人员安装恶意软件包。

  • 先前的案例:Lazarus 组织此前曾对 GitHub 和 Python 软件包索引(PyPI)进行过类似的攻击。

类似这种通过 npm 存储库分发恶意软件的攻击类型在未来可能会增加。下载以此方式分发的恶意开发工具的开发人员是攻击的主要目标,并且很有可能对在其上构建的应用程序以及使用它们的众多用户造成额外的损害。特别是,伪装成开发者工具的供应链攻击的严重性预计将进一步增加,因为一些恶意软件包还包括安装后门或泄露用户身份验证(凭证)信息等恶意操作。

鼓励开发者不要盲目信任新的开发者工具包,而要使用经过众多开发者验证和使用过的稳定的公共包。如果您正在使用Logpresso CTI服务,下面提到的相关妥协指标信息将自动更新并可立即使用。

Logpresso CTI 检测功能版本

  • 2024 年 8 月 22 日、10 月 26 日、11 月 26 日和 11 月 29 日之后

  • 2025 年 3 月 12 日

攻击指标摘要

恶意软件哈希
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.86.84.38
45.61.150.31
94.131.97.195
144.172.97.7
185.235.241.208
45.61.128.110
144.172.86.27
185.153.182.241
45.137.213.30
86.104.74.51
45.128.52.14
http://172.86.84.38:1224/uploads
http://172.86.84.38:1224/pdown
http://172.86.84.38:1224/client/9/909
http://172.86.84.38:1224/payload/9/909
http://172.86.84.38:1224/brow/9/909
http://45.61.150.31:1224/pdown
http://94.131.97.195:1224/pdown
http://185.153.182.241:1224/uploads
http://185.153.182.241:1224/pdown
http://172.86.84.38:1224/payload/9/909
http://172.86.84.38:1224/brow/9/909
http://172.86.84.38:1224/payload/9/909
http://185.153.182.241:1224/client/7/701
http://185.153.182.241:1224/brow/7/701
http://185.153.182.241:1224/payload/7/701
http://185.153.182.241:1224/keys
http://185.153.182.241:1224/mclip/7/701
http://86.104.74.51:1224/pdown
http://86.104.74.51:1224/client/7/702
http://86.104.74.51:1224/mclip/7/702
http://86.104.74.51:1224/payload/7/702
http://185.153.182.241:1224/mclip/7/702
http://zkservice.cloud/api/v2/process/Bc3n
http://zkservice.cloud/api/service/token/2afa2a236f34c1c8b58ec0f27c571abc

原文始发于微信公众号(Ots安全):【威胁情报】朝鲜Lazarus组织传播恶意npm包感染案例

免责声明:文章中涉及的程序(方法)可能带有攻击性,仅供安全研究与教学之用,读者将其信息做其他用途,由读者承担全部法律及连带责任,本站不承担任何法律及连带责任;如有问题可邮件联系(建议使用企业邮箱或有效邮箱,避免邮件被拦截,联系方式见首页),望知悉。
  • 左青龙
  • 微信扫一扫
  • weinxin
  • 右白虎
  • 微信扫一扫
  • weinxin
admin
  • 本文由 发表于 2025年3月18日18:43:39
  • 转载请保留本文链接(CN-SEC中文网:感谢原作者辛苦付出):
                   【威胁情报】朝鲜Lazarus组织传播恶意npm包感染案例https://cn-sec.com/archives/3855312.html
                  免责声明:文章中涉及的程序(方法)可能带有攻击性,仅供安全研究与教学之用,读者将其信息做其他用途,由读者承担全部法律及连带责任,本站不承担任何法律及连带责任;如有问题可邮件联系(建议使用企业邮箱或有效邮箱,避免邮件被拦截,联系方式见首页),望知悉.

发表评论

匿名网友 填写信息