近日，Node 包管理器（npm）上發(fā)現(xiàn)了六個(gè)與臭名昭著的朝鮮黑客組織 Lazarus 相關(guān)的惡意軟件包。這些軟件包已被下載 330 次，其設(shè)計(jì)目的是竊取賬戶憑證、在受感染系統(tǒng)上部署后門，并提取敏感的加密貨幣信息。

Lazarus 組織通過 npm 包發(fā)起供應(yīng)鏈攻擊

Socket 研究團(tuán)隊(duì)發(fā)現(xiàn)了此次攻擊活動(dòng)，并將其與 Lazarus 組織此前已知的供應(yīng)鏈攻擊操作關(guān)聯(lián)。Lazarus 以向 npm 等軟件注冊(cè)表推送惡意軟件包而聞名，這些注冊(cè)表被數(shù)百萬 JavaScript 開發(fā)者使用，攻擊者通過這種方式被動(dòng)地感染系統(tǒng)。

類似的攻擊活動(dòng)也曾在 GitHub 和 Python 包索引（PyPI）上被發(fā)現(xiàn)。這種策略通常使他們能夠初步訪問高價(jià)值網(wǎng)絡(luò)，并發(fā)起大規(guī)模破紀(jì)錄的攻擊，例如最近從 Bybit 交易所竊取 50 億美元加密貨幣的事件。

惡意 npm 包利用“錯(cuò)名攻擊”欺騙開發(fā)者

此次發(fā)現(xiàn)的六個(gè) Lazarus 相關(guān)軟件包均采用了“錯(cuò)名攻擊”（typosquatting）策略，誘騙開發(fā)者誤裝惡意軟件：

• is-buffer-validator – 模仿流行的 is-buffer 庫(kù)，用于竊取憑據(jù)。
• yoojae-validator – 假冒驗(yàn)證庫(kù)，用于從受感染系統(tǒng)中提取敏感數(shù)據(jù)。
• event-handle-package – 偽裝成事件處理工具，但部署了用于遠(yuǎn)程訪問的后門。
• array-empty-validator –設(shè)計(jì)用于收集系統(tǒng)和瀏覽器憑據(jù)的欺詐性軟件包。
• react-event-dependency – 假冒 React 工具，但通過執(zhí)行惡意軟件入侵開發(fā)者環(huán)境。
• auth-validator – 模仿身份驗(yàn)證工具，竊取登錄憑據(jù)和 API 密鑰。

惡意軟件竊取加密貨幣和瀏覽器數(shù)據(jù)

這些軟件包包含惡意代碼，旨在竊取敏感信息，例如加密貨幣錢包和包含存儲(chǔ)密碼、Cookie 以及瀏覽歷史的瀏覽器數(shù)據(jù)。此外，它們還加載了 BeaverTail 惡意軟件和 InvisibleFerret 后門程序，這些程序此前被朝鮮黑客用于虛假招聘信息中，導(dǎo)致受害者安裝惡意軟件。

下載惡意軟件載荷的代碼片段 來源：Socket

Socket 報(bào)告解釋道：“代碼旨在收集系統(tǒng)環(huán)境詳細(xì)信息，包括主機(jī)名、操作系統(tǒng)和系統(tǒng)目錄。它系統(tǒng)性地遍歷瀏覽器配置文件，定位并提取敏感文件，例如 Chrome、Brave 和 Firefox 中的‘Login Data’文件，以及 macOS 上的鑰匙串存檔。值得注意的是，該惡意軟件還針對(duì)加密貨幣錢包，專門提取 Solana 的 id.json 和 Exodus 的 exodus.wallet?！?/p>

威脅仍在持續(xù)，建議開發(fā)者加強(qiáng)防范

目前，這六個(gè) Lazarus 相關(guān)軟件包仍可在 npm 和 GitHub 倉(cāng)庫(kù)中找到，威脅尚未解除。建議軟件開發(fā)者在項(xiàng)目中使用軟件包時(shí)仔細(xì)檢查，并持續(xù)審查開源軟件中的代碼，尋找諸如混淆代碼和調(diào)用外部服務(wù)器等可疑跡象。