北韓駭客組織Lazarus最近在npm(Node套件管理器)上散布多個惡意套件,已被下載超過330次,這些套件能夠竊取帳號憑證、在受感染系統上部署後門,並竊取敏感的加密貨幣資訊。
Socket研究團隊發現了這起攻擊活動,並將其與先前已知的Lazarus攻擊鏈操作相關聯。該威脅組織以將惡意套件推送到npm等軟體註冊庫而聞名,這些註冊庫被數百萬JavaScript開發人員使用,從而順利入侵系統。
類似的攻擊活動也在GitHub和Python套件索引(PyPI)上出現,同樣被歸因於該威脅組織。這種戰術讓他們能夠初步進入高價值網路並執行大規模的攻擊,例如最近對Bybit交易所的15億美元加密貨幣竊取案。
已發現的六個Lazarus惡意套件
在npm上發現的六個Lazarus套件都採用了拼寫相似策略來欺騙開發人員安裝:
- is-buffer-validator – 模仿流行的is-buffer函式庫以竊取憑證
- yoojae-validator – 用於從受感染系統提取敏感數據的假驗證函式庫
- event-handle-package – 偽裝成事件處理工具,但會部署後門進行遠程存取
- array-empty-validator – 設計用來收集系統和瀏覽器憑證的欺詐套件
- react-event-dependency – 冒充React實用程式,但會執行惡意軟體以入侵開發人員環境
- auth-validator – 模仿認證驗證工具,以竊取登入憑證和API金鑰
這些套件中包含了設計用來竊取敏感訊息的惡意程式碼,例如加密貨幣錢包和包含儲存密碼、cookie以及瀏覽歷史的瀏覽器數據。
惡意軟體與後門部署
這些套件還加載了BeaverTail惡意軟體和InvisibleFerret後門,這些工具之前曾被北韓駭客使用在偽照工作機會中,導致受害者安裝惡意軟體。
Socket報告解釋:「這些軟體目的在收集系統環境詳細資料,包括主機名稱、操作系統和系統目錄。它會系統性地遍歷瀏覽器配置文件,尋找並提取敏感文件,例如來自Chrome、Brave和Firefox的登入數據,以及macOS上的鑰匙鏈存檔。」
「值得注意的是,該惡意軟體還專門針對加密貨幣錢包,特別是從Solana提取id.json和從Exodus提取exodus.wallet。」
所有六個Lazarus套件仍然可在npm和GitHub儲存庫上獲取,因此威脅仍然存在。軟體開發人員應該仔細檢查其專案使用的套件,並持續監控開源軟體中的程式碼,尋找可疑跡象,如混淆程式碼和對外部伺服器的呼叫。
本文轉載自bleepingcomputer。