【安全圈】朝鲜 Lazarus 黑客通过 npm 软件包感染数百人

在 npm（Node 包管理器）上发现了六个与臭名昭著的朝鲜黑客组织 Lazarus 有关的恶意软件包。

这些软件包已被下载 330 次，旨在窃取帐户凭证、在受感染的系统上部署后门以及提取敏感的加密货币信息。

Socket 研究团队发现了这一活动，并将其与之前已知的 Lazarus 供应链运营联系起来。

该威胁组织以将恶意软件推送到数百万 JavaScript 开发人员使用的 npm 等软件注册表并被动攻击系统而闻名。

在 GitHub和Python 软件包索引(PyPI)上发现了归因于同一威胁行为者的类似活动。

这种策略通常可以让他们初步获得对有价值网络的访问权，并进行大规模破纪录的攻击，例如最近对 Bybit 交易所进行的15 亿美元加密货币抢劫案。

在 npm 中发现的六个 Lazarus 软件包均采用了域名抢注策略来诱骗开发人员意外安装：

1. is-buffer-validator – 模仿流行的 is-buffer 库来窃取凭证的恶意软件包。

2. yoojae-validator – 用于从受感染系统中提取敏感数据的虚假验证库。

3. event-handle-package – 伪装成事件处理工具，但部署了后门以进行远程访问。

4. array-empty-validator – 旨在收集系统和浏览器凭证的欺诈性软件包。

5. react-event-dependency – 伪装成 React 实用程序，但执行恶意软件来破坏开发人员环境。

6. auth-validator –模仿身份验证验证工具来窃取登录凭据和 API 密钥。

这些软件包包含旨在窃取敏感信息的恶意代码，例如加密货币钱包和包含存储的密码、cookie 和浏览历史记录的浏览器数据。

他们还加载了 BeaverTail 恶意软件和 InvisibleFerret 后门，朝鲜之前曾在虚假工作机会中部署过这些恶意软件，从而导致安装恶意软件。

Socket 报告解释道：“该代码旨在收集系统环境详细信息，包括主机名、操作系统和系统目录。”

“它系统地迭代浏览器配置文件，以定位和提取敏感文件，例如 Chrome、Brave 和 Firefox 的登录数据以及 macOS 上的钥匙串档案。”

“值得注意的是，该恶意软件还针对加密货币钱包，特别是从 Solana 中提取 id.json 并从 Exodus 中提取 exodus.wallet。”

所有六个 Lazarus 软件包仍然可以在 npm 和 GitHub 存储库中使用，因此威胁仍然活跃。

建议软件开发人员仔细检查他们在项目中使用的软件包，并不断仔细检查开源软件中的代码，以查找混淆代码和对外部服务器的调用等可疑迹象。

来源：https://www.bleepingcomputer.com/news/security/north-korean-lazarus-hackers-infect-hundreds-via-npm-packages/