HackerNews 编译，转载请注明出处： 网络安全研究人员发现一场广泛传播的钓鱼攻击活动正在针对酒店服务行业，攻击者通过伪装Booking.com的恶意邮件诱骗收件人下载恶意软件。这些攻击采用名为ClickFix的欺骗性验证码系统，诱导受害者在Windows设备上运行恶意脚本。 该攻击活动自2024年11月活跃至今，在2025年3月达到高峰，占其总攻击量的47%。攻击者发送冒充Booking.com的邮件，要求酒店员工处理客户问题或确认预订信息。邮件中嵌入的链接会将用户导向伪造的验证码页面，触发恶意软件下载流程。 ClickFix页面提示用户完成“验证步骤”，要求通过Windows快捷操作复制并执行脚本。这些脚本通常安装远程访问木马（RAT）或信息窃取程序。据监测数据显示，53%的攻击载荷为XWorm远程木马，其余主要为Pure Logs窃密程序与DanaBot恶意软件。 近期攻击邮件呈现新特征： 以酒店声誉受损为威胁，设置24小时紧急处理期限 伪造客户预订需求，要求提前入住或特殊设施安排 发送虚假确认函，诱导员工点击恶意链接响应 部分变种甚至模仿Cookie同意弹窗，用户点击“接受”即触发恶意下载。尽管出现模仿Cloudflare的验证码变体，此类手法目前仍属少数。 该技术标志着钓鱼方法的转变：用户并非直接下载文件，而是在三步骤中无意执行恶意脚本： 验证码页面将隐藏脚本植入剪贴板 诱导受害者打开Windows运行命令框 粘贴并执行脚本以激活恶意程序 部分脚本末端伪装成验证码，进一步掩盖真实目的。监测数据显示75%的攻击使用Booking.com标识，但也观察到模仿Cloudflare等服务的变种。 该攻击活动的持续演进和高成功率，正使住宿与餐饮服务行业面临日益严峻的安全挑战。       消息来源： infosecurity-magazine； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 研究人员警告称，近期出现的新型远程访问木马（RAT）“Chaos RAT”变种正针对Windows和Linux系统发起攻击。根据Acronis的研究，攻击者通过诱骗受害者下载伪装成Linux网络故障排查工具的恶意软件进行传播。 安全研究人员Santiago Pontiroli、Gabor Molnar和Kirill Antonenko在报告中指出：“Chaos RAT是用Golang编写的开源RAT，支持跨平台的Windows和Linux系统。该工具借鉴了Cobalt Strike和Sliver等流行框架，提供可构建载荷、建立会话并控制受感染设备的管理面板”。 虽然这款“远程管理工具”的开发始于2017年，但其真正引起关注是在2022年12月——当时攻击者利用它针对托管Linux系统的公开Web应用程序发起恶意活动，部署XMRig加密货币挖矿程序。该恶意软件安装后会连接外部服务器，接收包括启动反向Shell、上传/下载/删除文件、枚举文件目录、截取屏幕截图、收集系统信息、锁定/重启/关闭设备以及打开任意URL等指令。最新5.0.3版本已于2024年5月31日发布。 Acronis发现Linux变种已出现在真实攻击中，多与加密货币挖矿活动关联。攻击链显示黑客通过包含恶意链接或附件的钓鱼邮件传播Chaos RAT。这些恶意文件会投放修改任务调度程序脚本，通过定期获取恶意软件实现持久化驻留。 早期攻击活动曾用此技术分别投放加密货币矿工和Chaos RAT，表明后者主要用于受感染设备的侦察和信息收集。对2025年1月上传至VirusTotal的样本分析显示，攻击者可能将恶意软件伪装成Linux网络故障排查工具诱导用户下载。 该木马的管理面板（用于构建载荷和控制受感染设备）被曝存在命令注入漏洞（CVE-2024-30850，CVSS 8.8分），可与跨站脚本漏洞（CVE-2024-31839，CVSS 4.8分）组合使用，实现服务器端特权提升的任意代码执行。维护者已于2024年5月修复这两个漏洞。 尽管幕后黑手尚未明确，但事件再次表明攻击者持续将开源工具武器化以混淆溯源。研究人员强调：“开发者工具可能迅速演变为攻击者的首选武器。公开渠道获取的恶意软件让APT组织隐匿于日常网络犯罪噪音中。开源恶意软件提供可快速定制部署的‘足够有效’工具包，当多个组织使用相同工具时，会极大干扰攻击溯源”。 该披露恰逢针对桌面版Trust Wallet用户的新攻击活动——攻击者通过欺骗性下载链接、钓鱼邮件或捆绑软件分发伪造版本，旨在窃取浏览器凭证、提取桌面钱包及浏览器扩展数据、执行命令并实施剪贴板劫持。安全研究员Kedar S Pandit指出：“该恶意软件安装后可扫描钱包文件、劫持剪贴板数据或监控浏览器会话以窃取助记词及私钥”。       消息来源： thehackernews； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 两个恶意 RubyGems 包伪装成流行的 Fastlane CI/CD 插件，将 Telegram API 请求重定向到攻击者控制的服务器以拦截和窃取数据 RubyGems 是 Ruby 编程语言的官方包管理器，用于分发、安装和管理 Ruby 库（gems），类似于 JavaScript 的 npm 和 Python 的 PyPI。这些恶意包会拦截敏感数据，包括聊天 ID 和消息内容、附件文件、代理凭证，甚至是可以用于劫持 Telegram 机器人的 Bot Token。 该供应链攻击由 Socket 安全研究人员发现，他们已通过报告向 Ruby 开发者社区发出风险警告。 这两个仿冒 Fastlane 插件的恶意包目前在 RubyGems 上仍然可用，名称如下： fastlane-plugin-telegram-proxy：发布于 2025 年 5 月 30 日，已被下载 287 次。 fastlane-plugin-proxy_teleram：发布于 2025 年 5 月 24 日，已被下载 133 次。 Fastlane 是一个合法的开源插件，作为移动应用开发者的自动化工具。它用于代码签名、编译构建、应用商店上传、通知发送和元数据管理。 fastlane-plugin-telegram 是一个合法的插件，允许 Fastlane 通过 Telegram Bot 在指定频道发送通知。这对于需要在 Telegram 工作区中实时获取 CI/CD 管道更新状态的开发者非常有用，使他们无需频繁检查仪表板即可跟踪关键事件。 Socket 发现的恶意 gem 与合法插件几乎完全相同，具有相同的公共 API、自述文件、文档和核心功能。 唯一但至关重要的区别在于，它们将合法的 Telegram API 端点 (https://api.telegram.org/) 替换为攻击者控制的代理端点 (rough-breeze-0c37[.]buidanhnam95[.]workers[.]dev)，从而拦截（并且很可能收集）敏感信息。 窃取的数据包括： Bot Token 消息数据 任何上传的文件 配置的代理凭证（如果配置了的话） 攻击者有充分的利用和持久化机会，因为 Telegram Bot Token 在受害者手动撤销之前一直有效。 Socket 指出，这些 gem 的页面声称代理“不存储或修改您的 Bot Token”，但无法验证这一说法。“Cloudflare Worker 脚本不可公开查看，威胁行为者完全有能力记录、检查或篡改传输中的任何数据，”Socket 解释道。“使用此代理，结合仿冒可信的 Fastlane 插件，清楚地表明其意图是在正常 CI 行为的幌子下窃取 Token 和消息数据。此外，威胁行为者尚未公开 Worker 的源代码，使其实现完全不透明。” 建议措施： 立即移除： 已安装这两个恶意 gem 的开发者应立即将其移除。 重建二进制文件： 重建自安装该恶意 gem 日期后生成的任何移动应用二进制文件。 轮换 Bot Token： 所有与 Fastlane 一起使用过的 Bot Token 都应立即轮换（因为它们已被泄露）。 网络屏蔽： Socket 还建议屏蔽到 *.workers[.]dev 的流量，除非明确需要。       消息来源： bleepingcomputer； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 越来越多的恶意活动利用了一种名为Crocodilus的新发现安卓银行木马，针对欧洲和南美用户。 根据ThreatFabric发布的一份新报告，该恶意软件还采用了改进的混淆技术来阻碍分析和检测，并新增了在受害者联系人列表中创建新联系人的能力。 荷兰安全公司ThreatFabric表示：“近期活动显示，多个攻击活动在继续针对土耳其的同时，已将欧洲国家纳入目标范围，并正将攻击版图向全球扩展至南美洲。” Crocodilus木马于2025年3月首次被公开披露，当时它通过伪装成谷歌Chrome等合法应用，主要针对西班牙和土耳其的安卓设备用户。该木马具备发起覆盖攻击的能力，攻击目标是从外部服务器获取的一系列金融应用列表，目的是窃取凭证。 它还会滥用辅助功能权限来捕获与加密货币钱包关联的助记词，这些助记词随后可被用于盗取钱包中存储的虚拟资产。 ThreatFabric的最新发现表明，该恶意软件的地理攻击范围正在扩大，并且其功能和特性也在持续开发增强，这表明其背后的运营者正在对其进行积极维护。 研究发现，针对波兰的部分攻击活动利用Facebook上的虚假广告作为传播媒介，这些广告模仿银行和电子商务平台，诱骗受害者下载应用以领取所谓的奖励积分。试图下载该应用的用户会被引导至一个恶意网站，该网站会投放Crocodilus的安装器（dropper）。 其他针对西班牙和土耳其用户的攻击波次则伪装成网络浏览器更新和在线赌场。阿根廷、巴西、印度、印度尼西亚和美国也是该恶意软件锁定的目标国家。 除了采用各种混淆技术增加逆向工程分析的难度外，新变种的Crocodilus还具备在收到“TRU9MMRHBCRO”命令后，向受害者联系人列表添加指定联系人的能力。 据推测，此功能旨在应对谷歌在安卓系统中引入的新安全防护措施——当用户在与未知联系人进行屏幕共享期间启动银行应用时，系统会发出可能的诈骗警报。 ThreatFabric分析称：“我们认为其意图是添加一个具有说服力名称（如‘银行客服’）的电话号码，使攻击者能够以看似合法的身份呼叫受害者。这也可能绕过那些标记未知号码的欺诈预防措施。” 另一个新功能是自动化的助记词收集器，它利用解析器来提取特定加密货币钱包的助记词和私钥。 该公司总结道：“涉及Crocodilus安卓银行木马的最新攻击活动，标志着该恶意软件在技术复杂性和操作范围上都发生了令人担忧的演变。值得注意的是，其攻击活动不再局限于特定区域；该木马已将触角延伸至新的地理区域，凸显出其已转变为真正的全球性威胁。”       消息来源：thehackernews； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 欧美执法机构宣布取缔全球最猖獗的反杀毒软件（CAV）服务平台AVCheck。该平台允许恶意软件开发者检测其代码能否被商业杀毒工具识别，从而设计更隐蔽有效的恶意软件。 荷兰国家警察5月31日通报，其与美国、芬兰执法部门协同捣毁该平台，重创网络犯罪生态关键环节。荷兰高科技犯罪调查组负责人Matthijs Jaspers称此为打击网络犯罪的“重要一步”：“此举将提前阻断犯罪链条，保护潜在受害者。多年调查已掌握AVCheck及其关联服务Cryptor.biz、Crypt.guru管理员与用户的关键证据。” 查封公告以英俄双语发布，指出行动成功“源于管理员的失误”，并强调：“管理员未能兑现其安全承诺。执法部门已接管AVCheck服务器，查获含用户名、邮箱、支付信息等的用户数据库。”调查人员正据此追查该服务的犯罪使用者。 此次5月27日的取缔行动与2024年5月启动的“终局行动”密切相关——该行动旨在打击传播IcedID、SystemBC等初始入侵恶意软件的犯罪网络。Jaspers表示：“网络罪犯追踪难度高，必须通过跨国协作与公私合作提升数字安全防御能力。”美国司法部声明呼应此观点，检察官Nicholas Ganjei指出：“现代犯罪威胁需要现代执法手段。端掉此类恶意工具供应商，相当于切断网络犯罪的输血通道。”       消息来源：infosecurity-magazine； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 网络安全公司Cisco Talos披露，黑客正利用OpenAI ChatGPT和InVideo AI等热门人工智能工具的虚假安装程序作为诱饵，传播CyberLock、Lucky_Gh0$t勒索软件及新型恶意软件Numero等威胁。 “基于PowerShell开发的CyberLock勒索软件主要针对受害者系统中的特定文件进行加密，”研究员切坦·拉古普拉萨德在报告中指出，“Lucky_Gh0$t则是Yashma勒索软件的变种，属于Chaos勒索软件家族的第六代迭代，仅对勒索程序二进制文件进行了微调。”而Numero属于破坏性恶意软件，通过篡改Windows操作系统图形界面组件使设备瘫痪。 这些正版AI工具在B2B销售和营销领域广受欢迎，表明相关行业的个人与机构成为攻击者的主要目标。虚假网站“novaleadsai[.]com”疑似冒充正规潜在客户开发平台NovaLeads，可能通过SEO投毒技术提升搜索引擎排名。该网站以“首年免费使用，后续月费95美元”为诱饵，诱使用户下载内含恶意.NET可执行文件(“NovaLeadsAI.exe”)的压缩包。该文件实为加载器，用于部署基于PowerShell的CyberLock勒索软件。 该勒索软件具备权限提升功能，若未获管理员权限将自我提权执行，随后加密“C:”、“D:”、“E:”分区中特定扩展名的文件，并投放勒索信索要5万美元门罗币赎金。值得注意的是，攻击者在勒索信中宣称赎金将用于援助巴勒斯坦、乌克兰、非洲、亚洲等“长期遭受不公”地区的妇女儿童。“与无辜生命尤其是儿童的牺牲相比，这笔金额微不足道。遗憾的是，我们认定多数人不会主动施以援手，迫使我们出此下策。”勒索信写道。最后阶段，攻击者利用系统原生二进制工具“cipher.exe”配合“/w”参数清除磁盘可用空间，阻碍取证恢复。 另一攻击者则通过伪造ChatGPT高级版安装程序传播Lucky_Gh0$t勒索软件。恶意自解压安装包内含仿冒微软程序“dwm.exe”的勒索程序“dwn.exe”，同时捆绑微软官方开源AI工具。一旦运行安装程序，脚本即触发勒索程序。这款Yashma变种在加密1.2GB以下文件前会删除卷影副本及备份。勒索信包含专属解密ID，要求受害者通过Session通讯软件联系支付赎金获取解密工具。 此外，黑客还利用AI视频创作平台InVideo AI的伪造安装程序传播破坏性恶意软件Numero。该安装程序作为投放器包含三个组件：Windows批处理文件、VB脚本及Numero可执行程序。启动后，批处理文件通过无限循环调用VB脚本，每60秒中断并重启Numero进程。这款C++编写的32位程序会检测分析工具和调试器进程，随后将桌面窗口标题、按钮及内容覆盖为数字串“1234567890”。 此次披露恰逢谷歌旗下Mandiant曝光利用Facebook和LinkedIn恶意广告的欺诈活动。该活动将用户诱导至冒充Luma AI、Canva Dream Lab、Kling AI等正规AI视频工具的虚假网站。据Morphisec和Check Point本月初揭露，该活动被归因于越南关联组织UNC6032，至少自2024年中持续活跃。 攻击流程中，用户访问虚假网站后被要求输入提示词生成视频。无论输入内容如何，网站都会触发下载基于Rust的投放器STARKVEIL。该程序投放三款信息窃取类模块化恶意软件：使用TOR隧道获取.NET有效载荷的下载器GRIMPULL；收集系统信息及密码管理器/加密货币钱包数据的.NET后门FROSTRIFT；具备键盘记录、远程命令执行等功能的.NET远控木马XWorm。STARKVEIL还通过Python投放器COILHATCH，借助DLL侧加载技术启动上述载荷。 “这些AI工具已不仅针对设计师，任何人都可能被看似无害的广告诱骗，”Mandiant警告道，“尝试最新AI工具的诱惑可能让任何人沦为受害者。”       消息来源：thehackernews； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 谷歌云旗下Mandiant威胁情报团队发布报告称，越南黑客组织UNC6032自2024年中期起，通过社交媒体平台投放虚假AI工具广告实施大规模恶意软件攻击。该组织利用Luma AI、Canva Dream Lab等知名AI视频生成工具的名义创建仿冒网站，诱导用户下载包含多阶段恶意载荷的压缩包。 攻击者通过Facebook和LinkedIn平台创建或劫持账户，投放数千条虚假广告。当用户点击广告后，会被重定向至高度仿真的AI工具网站。无论用户输入何种内容，网站均会生成虚假视频并推送恶意ZIP压缩包，其中包含以下组件： STARKVEIL投放器：使用Rust语言编写，负责释放后续恶意模块 XWORM后门：具备键盘记录、屏幕截图及远程控制功能 FROSTRIFT后门：采集系统信息并窃取浏览器扩展数据 GRIMPULL下载器：用于从C2服务器获取额外插件扩展攻击能力 研究人员发现攻击者注册了30余个仿冒域名，通过120多个广告群组覆盖欧盟地区超230万用户。为逃避检测，该组织采取动态域名轮换策略——新注册域名通常在24小时内即被投入广告投放，单个广告存活周期不超过48小时。LinkedIn平台相关广告主要针对美国（占比65%）、欧洲（20%）及澳大利亚（15%）用户，单日展示量达5万至25万次。 技术分析显示，攻击链采用“故障保护”设计理念。即使部分恶意模块被安全软件拦截，其他载荷仍可维持攻击有效性。XWORM后门与Morphisec此前报告的Noodlophile窃密程序存在捆绑分发现象，两者均能通过内存注入实现隐蔽驻留。恶意软件通过DLL侧载、进程注入等技术突破防御，并利用注册表AutoRun键实现持久化。 Mandiant强调，攻击者利用AI技术热潮构建的钓鱼陷阱已突破传统行业界限，任何对新兴工具感兴趣的用户均可能成为目标。企业应加强员工安全意识培训，重点识别社交媒体广告中的异常跳转链接。个人用户需通过官方渠道验证AI工具真实性，避免下载来路不明的压缩文件。       消息来源： infosecurity-magazine； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 网络安全研究人员发现，仿冒杀毒软件厂商Bitdefender的钓鱼网站正被用于分发VenomRAT远程控制木马及两款恶意工具，形成三重攻击链。该仿冒网站界面高度还原官方下载页面，但用户点击“DOWNLOAD FOR WINDOWS”按钮后，实际下载的是托管在Bitbucket与Amazon S3平台的恶意安装包。 安装包内含名为StoreInstaller.exe的可执行文件，经分析发现其捆绑了VenomRAT、StormKitty和SilentTrinity三个恶意家族的代码模块。DomainTools研究团队指出，攻击者通过模块化组合实现多重渗透： VenomRAT：基于开源项目Quasar RAT改造，具备键盘记录、凭证窃取与远程命令执行能力，建立持久控制通道 StormKitty：专门窃取加密货币钱包数据及系统登录凭证 SilentTrinity：采用隐蔽通信协议实施数据外泄，维持长期潜伏 技术溯源显示，相关恶意样本均配置相同C2服务器（67.217.228[.]160:4449与157.20.182[.]72:4449），且部分样本共享远程桌面协议（RDP）配置参数，证实攻击活动由同一组织操控。攻击者还注册多个仿冒银行与IT服务登录页的钓鱼域名，包括仿造亚美尼亚IDBank的idram-secure[.]live、伪装加拿大皇家银行的royalbanksecure[.]online，以及假冒微软门户的dataops-tracxn[.]com，域名注册时间与基础设施存在关联性。 此次攻击凸显开源恶意工具的低门槛化趋势，攻击者通过组合现有框架快速构建攻击套件。研究人员强调，虽然开源特征有助于防御方识别攻击模式，但也显著提升了攻击效率与规模。建议用户从官方渠道验证下载文件，避免在可疑页面提交敏感信息，并对邮件附件与链接保持警惕。       消息来源： infosecurity-magazine； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处：   网络安全研究人员发现新型利用Python软件包索引（PyPI）传播机器学习模型恶意载荷的攻击活动。ReversingLabs披露，攻击者通过Pickle文件格式将恶意软件植入伪装成AI工具的开源组件，相关软件包声称提供阿里云AI服务的Python SDK，实际却部署窃密程序。 恶意软件包aliyun-ai-labs-snippets-sdk、ai-labs-snippets-sdk及aliyun-ai-labs-sdk表面为AI开发工具，实则不包含任何功能性代码。攻击者将信息窃取程序嵌入PyTorch模型文件（本质为压缩的Pickle文件），利用初始化脚本触发恶意载荷。该程序具备以下窃密能力： 窃取用户身份信息及网络配置数据 探测设备所属组织架构 提取.gitconfig版本控制配置文件 研究人员发现，恶意代码专门检测是否存在阿里会议（AliMeeting）开发者特征，显示攻击目标可能聚焦特定区域。 PyTorch模型加载机制与Pickle反序列化漏洞的结合形成攻击突破口。Pickle允许序列化对象执行任意代码的特性，使其成为绕过传统安全检测的理想载体。三个恶意软件包中有两个通过此方式投放全功能恶意程序。ReversingLabs逆向工程师Karlo Zanki指出：“当前安全工具对恶意机器学习模型的检测能力仍处于原始阶段，现有防护体系缺乏针对此类攻击的必要功能。” 尽管PyPI官方已下架相关软件包，但其在存活期间累计被下载约1600次。攻击者可能通过社会工程或钓鱼手段诱导开发者安装，具体诱导方式尚未明确。该事件凸显AI/ML工具成为软件开发核心组件后，亟需建立更严格的文件验证机制与零信任原则来应对ML制品的安全风险。       消息来源： infosecurity-magazine； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： npm软件包注册表中发现多达60个恶意软件包，这些软件包具有收集主机名、IP地址、DNS服务器和用户目录至Discord控制端点的恶意功能。软件供应链安全公司Socket的研究员基里尔·博伊琴科在上周发布的报告中表示，这些由三个不同账户发布的软件包包含在npm安装期间触发的安装时脚本。这些库已被累计下载超过3,000次。 该公司表示：“该脚本针对Windows、macOS或Linux系统，并包含基本的沙箱逃逸检查，使得每个受感染的工作站或持续集成节点都成为有价值侦察信息的潜在来源。”三个账户的名称如下，每个账户在11天内发布了20个软件包，这些账户现已不存在于npm上： bbbb335656 cdsfdfafd1232436437 sdsds656565 根据Socket的说法，该恶意代码明确设计用于对每台安装该软件包的机器进行指纹识别，同时在检测到运行于与亚马逊、谷歌等相关的虚拟化环境时中止执行。收集的信息（包括主机详细信息、系统DNS服务器、网络接口卡（NIC）信息以及内部和外部IP地址）随后被传输至Discord网络钩子。 “通过收集内部和外部IP地址、DNS服务器、用户名和项目路径，它使威胁行为者能够绘制网络图并识别未来活动的高价值目标，”博伊琴科表示。 该披露紧随另一组八个npm软件包之后，这些软件包伪装成React、Vue.js、Vite、Node.js和开源Quill Editor等广泛使用的JavaScript框架的辅助库，但在安装后部署破坏性有效载荷。它们已被下载超过6,200次，目前仍可从仓库下载： vite-plugin-vue-extend quill-image-downloader js-hood js-bomb vue-plugin-bomb vite-plugin-bomb vite-plugin-bomb-extend vite-plugin-react-extend “这些软件包伪装成合法插件和实用程序，同时秘密包含旨在破坏数据、删除关键文件和崩溃系统的破坏性有效载荷，却未被检测到，”Socket安全研究员库什·潘迪亚表示。已发现部分软件包在开发人员于项目中调用时会自动执行，实现与Vue.js、React和Vite相关文件的递归删除。其他软件包则设计用于破坏基本JavaScript方法或篡改localStorage、sessionStorage和cookie等浏览器存储机制。 值得注意的另一个软件包是js-bomb，它不仅删除Vue.js框架文件，还会根据执行时的当前时间发起系统关机。该活动被追踪至名为xuxingfeng的威胁行为者，其还发布了五个正常运行的合法非恶意软件包。部分恶意软件包发布于2023年。“这种同时发布有害和有益软件包的双重策略营造了合法性表象，使得恶意软件包更可能被信任和安装，”潘迪亚表示。 这些发现还紧随一项新型攻击活动的披露，该活动将传统电子邮件钓鱼与作为恶意npm软件包（伪装成良性开源库）组成部分的JavaScript代码相结合。“一旦建立通信，该软件包就会加载并交付第二阶段脚本，该脚本使用受害者的电子邮件地址定制钓鱼链接，将其引导至旨在窃取其凭证的伪造Office 365登录页面，”Fortra研究员伊斯雷尔·塞尔达表示。 攻击的起点是包含恶意.HTM文件的钓鱼邮件，该文件包含托管在jsDelivr并与现已删除的名为citiycar8的npm软件包相关联的加密JavaScript代码。安装后，嵌入在软件包中的JavaScript有效载荷被用于发起URL重定向链，最终将用户引导至旨在捕获其凭证的虚假登录页面。 “这次钓鱼攻击展现了高度复杂性，威胁行为者将AES加密、通过CDN交付的npm软件包和多次重定向等技术相链接以掩盖其恶意意图，”塞尔达表示。“此次攻击不仅说明了攻击者试图逃避检测的创造性方式，还突显了在不断演变的网络安全威胁环境中保持警惕的重要性。” 滥用开源存储库进行恶意软件分发已成为大规模实施供应链攻击的成熟方法。最近几周，微软Visual Studio Code（VS Code）市场中也发现了恶意数据窃取扩展程序，这些扩展程序旨在通过针对Windows上的Solidity开发者来窃取加密货币钱包凭证。 Datadog安全研究团队将该活动归因于其追踪为MUT-9332的威胁行为者。扩展程序名称如下： solaibot among-eth blankebesxstnion “这些扩展程序伪装成合法程序，在真实功能中隐藏有害代码，并使用与Solidity相关且通常不会被标记为恶意的命令控制域，”Datadog研究人员表示。“所有三个扩展程序都采用了涉及多阶段混淆恶意软件的复杂感染链，其中一个扩展程序使用了隐藏在互联网档案馆托管图像文件中的有效载荷。” 具体而言，这些扩展程序被宣传为Solidity开发者提供语法扫描和漏洞检测功能。虽然它们提供真实功能，但这些扩展程序也设计用于交付窃取受害者Windows系统加密货币钱包凭证的恶意有效载荷。这三个扩展程序现已被下架。 VS Code扩展程序的最终目标是植入基于Chromium的恶意浏览器扩展程序，该扩展程序能够掠夺以太坊钱包并将其泄露至命令与控制（C2）端点。它还被配置为安装单独的可执行文件，该文件可禁用Windows Defender扫描、扫描Discord、基于Chromium的浏览器、加密货币钱包和Electron应用的应用程序数据目录，并从远程服务器检索和执行额外有效载荷。 MUT-9332还被评估为最近披露活动的幕后黑手，该活动涉及使用10个恶意VS Code扩展程序（通过伪装成编码或人工智能工具）安装XMRig加密货币挖矿程序。“此次活动展示了MUT-9332在隐藏恶意意图方面令人惊讶的创造性手段，”Datadog表示。“这些有效载荷更新表明该活动可能会持续进行，而首批恶意VS Code扩展程序的检测和删除可能促使MUT-9332在后续活动中改变策略。”       消息来源： thehackernews； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc”并附上原文