HackerNews 编译,转载请注明出处:
知名朝鲜黑客组织Lazarus近日被曝在npm(Node包管理器)平台投放6个恶意软件包,目前已累计被下载330次。这些软件包通过窃取账户凭证、部署后门程序等手段,专门针对加密货币敏感信息实施窃取。
网络安全公司Socket研究团队发现,此次攻击行动与Lazarus组织过往的软件供应链攻击模式高度吻合。该组织长期潜伏于npm、GitHub和PyPI(Python软件包索引)等开发者平台,通过投毒攻击渗透目标系统。其惯用手法曾导致Bybit交易所遭遇15亿美元加密货币盗窃案,创下历史最高纪录。
六大恶意软件包特征
本次发现的恶意软件包均采用”仿冒拼写”策略诱导开发者误装:
1. is-buffer-validator:仿冒流行库is-buffer,实施凭证窃取
2. yoojae-validator:伪装验证工具窃取系统敏感数据
3. event-handle-package:伪装事件处理工具部署远程后门
4. array-empty-validator:窃取系统及浏览器凭证
5. react-event-dependency:伪装React工具植入恶意程序
6. auth-validator:窃取登录凭证与API密钥
据Socket报告披露,这些软件包内嵌的恶意代码具备多重窃取功能,包括劫持Chrome、Brave、Firefox浏览器的登录数据、Cookies及历史记录,窃取macOS系统密钥链信息,针对Solana钱包的id.json文件及Exodus钱包文件实施定向窃取,包括植入朝鲜黑客惯用的”BeaverTail”恶意软件和”InvisibleFerret”后门程序。
目前所有恶意软件包仍存在于npm及GitHub平台。安全专家建议开发者严格审查项目依赖包来源,重点排查开源代码中的混淆代码、非常规服务器连接请求并警惕名称与知名库相似的软件包。
此次事件再次凸显软件供应链安全风险。Lazarus组织自2023年起持续活跃,其攻击范围已覆盖金融、加密货币等多个关键领域。
消息来源:Bleeping Computer;
本文由 HackerNews.cc 翻译整理,封面来源于网络;
转载请注明“转自 HackerNews.cc”并附上原文
