近日，Node 包管理器（npm）上發(fā)現(xiàn)了六個與臭名昭著的朝鮮黑客組織 Lazarus 相關的惡意軟件包。這些軟件包已被下載 330 次，其設計目的是竊取賬戶憑證、在受感染系統(tǒng)上部署后門，并提取敏感的加密貨幣信息。

Lazarus 組織通過 npm 包發(fā)起供應鏈攻擊

Socket 研究團隊發(fā)現(xiàn)了此次攻擊活動，并將其與 Lazarus 組織此前已知的供應鏈攻擊操作關聯(lián)。Lazarus 以向 npm 等軟件注冊表推送惡意軟件包而聞名，這些注冊表被數(shù)百萬 JavaScript 開發(fā)者使用，攻擊者通過這種方式被動地感染系統(tǒng)。

類似的攻擊活動也曾在 GitHub 和 Python 包索引（PyPI）上被發(fā)現(xiàn)。這種策略通常使他們能夠初步訪問高價值網(wǎng)絡，并發(fā)起大規(guī)模破紀錄的攻擊，例如最近從 Bybit 交易所竊取 50 億美元加密貨幣的事件。

惡意 npm 包利用“錯名攻擊”欺騙開發(fā)者

此次發(fā)現(xiàn)的六個 Lazarus 相關軟件包均采用了“錯名攻擊”（typosquatting）策略，誘騙開發(fā)者誤裝惡意軟件：

• is-buffer-validator – 模仿流行的 is-buffer 庫，用于竊取憑據(jù)。
• yoojae-validator – 假冒驗證庫，用于從受感染系統(tǒng)中提取敏感數(shù)據(jù)。
• event-handle-package – 偽裝成事件處理工具，但部署了用于遠程訪問的后門。
• array-empty-validator –設計用于收集系統(tǒng)和瀏覽器憑據(jù)的欺詐性軟件包。
• react-event-dependency – 假冒 React 工具，但通過執(zhí)行惡意軟件入侵開發(fā)者環(huán)境。
• auth-validator – 模仿身份驗證工具，竊取登錄憑據(jù)和 API 密鑰。

惡意軟件竊取加密貨幣和瀏覽器數(shù)據(jù)

這些軟件包包含惡意代碼，旨在竊取敏感信息，例如加密貨幣錢包和包含存儲密碼、Cookie 以及瀏覽歷史的瀏覽器數(shù)據(jù)。此外，它們還加載了 BeaverTail 惡意軟件和 InvisibleFerret 后門程序，這些程序此前被朝鮮黑客用于虛假招聘信息中，導致受害者安裝惡意軟件。

下載惡意軟件載荷的代碼片段 來源：Socket

Socket 報告解釋道：“代碼旨在收集系統(tǒng)環(huán)境詳細信息，包括主機名、操作系統(tǒng)和系統(tǒng)目錄。它系統(tǒng)性地遍歷瀏覽器配置文件，定位并提取敏感文件，例如 Chrome、Brave 和 Firefox 中的‘Login Data’文件，以及 macOS 上的鑰匙串存檔。值得注意的是，該惡意軟件還針對加密貨幣錢包，專門提取 Solana 的 id.json 和 Exodus 的 exodus.wallet?！?/p>

威脅仍在持續(xù)，建議開發(fā)者加強防范

目前，這六個 Lazarus 相關軟件包仍可在 npm 和 GitHub 倉庫中找到，威脅尚未解除。建議軟件開發(fā)者在項目中使用軟件包時仔細檢查，并持續(xù)審查開源軟件中的代碼，尋找諸如混淆代碼和調用外部服務器等可疑跡象。