HackerNews 编译，转载请注明出处： 网络安全研究人员发现了一种针对macOS的信息窃取恶意软件Banshee Stealer的新变种，该变种更为隐蔽。 Check Point Research在向The Hacker News分享的一份新分析报告中指出：“在2024年底源代码泄露后，该恶意软件一度被认为已沉寂。但此次新变种引入了受苹果XProtect启发的先进字符串加密技术。这一发展使其能够绕过杀毒软件系统，对全球超过1亿macOS用户构成重大风险。” 该网络安全公司表示，他们在2024年9月底检测到了这一新版本。该恶意软件通过伪装成谷歌浏览器、Telegram和TradingView等流行软件的钓鱼网站和假冒GitHub仓库进行传播。 Banshee Stealer首次由Elastic Security Labs在2024年8月记录。它以每月3000美元的价格，作为恶意软件即服务（MaaS）模型提供给其他网络犯罪分子，能够收集来自网页浏览器、加密货币钱包和具有特定扩展名的文件的数据。 2024年11月底，该恶意软件的源代码在网上泄露，导致其运营受挫并关闭。然而，Check Point表示，他们已发现多起仍通过钓鱼网站分发该恶意软件的攻击活动，但目前尚不清楚这些活动是否由之前的客户发起。 这一新变种的一个显著特点是移除了用于防止感染默认系统语言设置为俄语的Macs的俄语语言检查。移除这一功能暗示着威胁行为者可能正在寻求扩大潜在目标范围。 另一项关键更新是使用了苹果XProtect杀毒软件引擎中的字符串加密算法来混淆Banshee Stealer原始版本中的明文字符串。 Check Point Research安全研究小组经理Eli Smadja在一份向The Hacker News提供的声明中表示：“现代恶意软件攻击正在利用常见的人类漏洞，而不仅仅是特定平台的缺陷。macOS与其他操作系统一样，都面临着这些不断演变的威胁，尤其是当网络犯罪分子采用社会工程学和假冒软件更新等先进技术时。” 与此同时，Discord上的未经请求的消息正在被用来传播各种窃取器恶意软件家族，如Nova Stealer、Ageo Stealer和Hexon Stealer，其借口是测试一款新的视频游戏。 Malwarebytes表示：“这些窃取器似乎对Discord凭证特别感兴趣，因为这些凭证可用于扩大被攻陷账户的网络。这也对他们有所帮助，因为部分被盗信息包括受害者的好友账户。”   消息来源：The Hacker News, 编译：zhongx；  本文由 HackerNews.cc 翻译整理，封面来源于网络；   转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 针对中东地区政府机构与互联网服务提供商（ISP）的新型Eagerbee恶意软件框架变种正在被部署。 据卡巴斯基研究人员的新报告指出，基于代码相似性和IP地址重叠，该恶意软件可能与名为“CoughingDown”的威胁组织存在潜在关联。 “由于在同一天通过相同的Webshell创建服务以执行Eagerbee后门和CoughingDown核心模块，且Eagerbee后门与CoughingDown核心模块的C2域名存在重叠，我们较为确信地认为Eagerbee后门与CoughingDown威胁组织有关”，卡巴斯基解释道。 Eagerbee恶意软件框架 卡巴斯基无法确定中东地区攻击中的初始访问途径，但报告指出，在之前的案例中，两家东亚组织曾通过利用Microsoft Exchange ProxyLogon漏洞（CVE-2021-26855）遭到入侵。 攻击涉及在系统32目录中部署一个注入器（tsvipsrv.dll），以加载有效载荷文件（ntusers0.dat）。 系统启动时，Windows会执行注入器，然后滥用“Themes”服务以及SessionEnv、IKEEXT和MSDTC，利用DLL劫持技术在内存中写入后门有效载荷。 后门加载流程 后门可被配置为在特定时间执行，但卡巴斯基表示，在观察到的攻击中，后门被设置为全天候运行。 在受感染系统上，Eagerbee以“dllloader1x64.dll”的形式出现，并立即开始收集操作系统详情和网络地址等基本信息。 初始化后，它会与命令与控制（C2）服务器建立TCP/SSL通道，从而接收扩展其功能的附加插件。 插件由插件编排器（ssss.dll）注入内存，并管理其执行。 卡巴斯基记录的五个插件如下： 文件管理器插件：处理文件系统操作，包括列出、重命名、移动、复制和删除文件或目录。它可以调整文件权限、将附加有效载荷注入内存、执行命令行，并检索详细的文件和文件夹结构，同时管理卷标和时间戳。 进程管理器插件：通过列出正在运行的进程、启动新进程和终止现有进程来管理系统进程。它可以在特定用户账户的安全上下文中执行命令行或模块。 远程访问管理器插件：通过启用RDP会话、维护并发RDP连接和提供命令外壳访问来促进远程访问。它还可以从指定URL下载文件，并将命令外壳注入合法进程以实现隐身。 服务管理器插件：通过创建、启动、停止、删除或枚举系统服务来控制服务。它可以管理独立和共享服务进程，同时收集服务状态详细信息。 网络管理器插件：监控和列出活动网络连接，收集IPv4和IPv6协议的状态、本地/远程地址和端口以及关联进程ID等详细信息。 总体而言，Eagerbee是一种隐蔽且持久的威胁，在被入侵的系统上具有广泛能力。 同样的后门加载链也在日本被发现，表明这些攻击具有全球性。 各组织应为所有Exchange服务器修补ProxyLogon漏洞，并使用卡巴斯基报告中列出的入侵指标来尽早捕捉威胁。   消息来源：Bleeping Computer, 编译：zhongx；  本文由 HackerNews.cc 翻译整理，封面来源于网络；   转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 一款名为FireScam的安卓信息窃取恶意软件被发现伪装成Telegram消息应用的高级版，以窃取数据并对受感染的设备实施持续的远程控制。 “这款恶意软件伪装成假冒的‘Telegram高级版’应用，通过一个假冒俄罗斯联邦知名应用商店RuStore的GitHub.io托管钓鱼网站进行分发。”网络安全公司Cyfirma表示，这是一款“复杂且多面的威胁”。 “恶意软件采用多阶段感染过程，从投放器APK文件开始，一旦安装，便执行广泛的监控活动。” 该钓鱼网站（rustore-apk.github[.]io）模仿俄罗斯科技巨头VK在该国推出的应用商店RuStore，并设计用于交付投放器APK文件（“GetAppsRu.apk”）。一旦安装，投放器便成为主要有效载荷的传输工具，负责将包括通知、消息和其他应用数据在内的敏感数据外泄到Firebase实时数据库端点。 投放器应用请求多项权限，包括在Android 8及更高版本的受感染安卓设备上写入外部存储以及安装、更新或删除任意应用的能力。 “ENFORCE_UPDATE_OWNERSHIP权限将应用更新限制为应用的指定所有者。应用的初始安装程序可以声明自己是‘更新所有者’，从而控制应用的更新。”Cyfirma指出。 “此机制确保其他安装程序在尝试更新前需要用户批准。通过将自己指定为更新所有者，恶意应用可以防止来自其他来源的合法更新，从而在设备上保持其持久性。” FireScam采用多种混淆和防分析技术来逃避检测。它还监控传入的通知、屏幕状态变化、电子商务交易、剪贴板内容和用户活动，以收集感兴趣的信息。另一个值得注意的功能是其能够从指定URL下载和处理图像数据。 当这个假冒的Telegram高级版应用启动时，它会进一步请求用户访问联系人列表、通话记录和短信消息的权限，然后通过WebView显示Telegram官方网站的登录页面以窃取凭据。无论受害者是否登录，数据收集过程都会启动。 最后，它注册一个服务以接收Firebase云消息（FCM）通知，从而能够接收远程命令并保持隐蔽访问——这是恶意软件广泛监控能力的一个迹象。同时，恶意软件还与其命令和控制（C2）服务器建立WebSocket连接，用于数据外泄和后续活动。 Cyfirma表示，该钓鱼域名还托管了另一个名为CDEK的恶意程序，这可能是指一家俄罗斯包裹和递送跟踪服务。然而，网络安全公司表示，在分析时未能获得该程序。 目前尚不清楚操作者是谁，用户是如何被引导到这些链接的，以及是否涉及短信钓鱼或恶意广告技术。 “通过模仿合法平台（如RuStore应用商店），这些恶意网站利用用户信任欺骗个人下载并安装假冒应用。”Cyfirma表示。 “FireScam执行其恶意活动，包括数据外泄和监控，进一步证明了基于钓鱼的分发方法在感染设备和逃避检测方面的有效性。”   消息来源：The Hacker News, 编译：zhongx；  本文由 HackerNews.cc 翻译整理，封面来源于网络；   转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 网络安全研究人员已标记出一种名为PLAYFULGHOST的新型恶意软件，该软件具备广泛的信息收集功能，如键盘记录、屏幕截图、音频录制、远程shell以及文件传输/执行等。 据谷歌的托管防御团队称，该后门程序与一种名为Gh0st RAT的已知远程管理工具在功能上有所重叠，而Gh0st RAT的源代码早在2008年就已公开泄露。 PLAYFULGHOST的初始入侵途径包括使用含有行为规范相关诱饵的钓鱼邮件或搜索引擎优化（SEO）投毒技术来分发诸如LetsVPN等合法VPN应用的特洛伊木马版本。 “在一起钓鱼攻击事件中，感染始于诱骗受害者打开伪装成图像文件并使用.jpg扩展名的恶意RAR压缩包，”该公司表示，“当受害者解压并执行该压缩包时，它会释放一个恶意的Windows可执行文件，该文件最终会从远程服务器下载并执行PLAYFULGHOST。” 另一方面，采用SEO投毒的攻击链则试图欺骗不明真相的用户下载含有恶意软件的LetsVPN安装程序，该程序在启动时会释放一个负责检索后门组件的中间有效载荷。 该感染值得注意的一点是，它利用诸如DLL搜索顺序劫持和旁加载等方法来启动一个恶意DLL，然后使用该DLL来解密并将PLAYFULGHOST加载到内存中。 Mandiant表示，它还观察到了一个“更复杂的执行场景”，其中Windows快捷方式（“QQLaunch.lnk”）文件将名为“h”和“t”的两个其他文件的内容组合起来，以构建恶意DLL，并使用重命名的“curl.exe”版本进行旁加载。 PLAYFULGHOST能够使用四种不同的方法在主机上设置持久性：运行注册表项、计划任务、Windows启动文件夹和Windows服务。它拥有一套广泛的功能，能够收集大量数据，包括键盘输入、屏幕截图、音频、QQ账户信息、安装的安全产品、剪贴板内容以及系统元数据等。 此外，它还具备释放更多有效载荷、阻止鼠标和键盘输入、清除Windows事件日志、擦除剪贴板数据、执行文件操作、删除与搜狗、QQ、360安全、Firefox和谷歌Chrome等浏览器相关的缓存和配置文件，以及擦除Skype、Telegram和QQ等消息传递应用程序的配置文件和本地存储的能力。 通过PLAYFULGHOST部署的其他一些工具包括Mimikatz和一个能够隐藏威胁行为者指定的注册表、文件和进程的rootkit。在下载PLAYFULGHOST组件时，还会同时释放一个名为Terminator的开源实用程序，该程序可以通过自带易受攻击的驱动程序（BYOVD）攻击来终止安全进程。 “有一次，Mandiant观察到PLAYFULGHOST有效载荷被嵌入到BOOSTWAVE中，”这家科技巨头表示，“BOOSTWAVE是一种shellcode，它作为附加的可移植可执行（PE）有效载荷的内存释放器。” 针对搜狗、QQ和360安全等应用以及使用LetsVPN诱饵的情况表明，这些感染可能针对的是使用中文的Windows用户。2024年7月，加拿大网络安全供应商eSentire披露了一起类似活动，该活动利用虚假的谷歌Chrome安装程序来传播Gh0st RAT，并使用了一个名为Gh0stGambit的释放器。   消息来源：The Hacker News, 编译：zhongx；  本文由 HackerNews.cc 翻译整理，封面来源于网络；   转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 一项针对PlugX蠕虫的开创性恶意软件消毒行动在国际机构的协作下已圆满执行。 此次行动由Sekoia威胁检测与研究团队牵头，成功为多个国家的受感染系统进行了消毒。 PlugX蠕虫常与“野马熊猫”（Mustang Panda）相关联，可通过受感染的闪存盘传播，极具普遍性。2023年，Sekoia研究人员查尔斯·梅斯莱（Charles Meslay）和费利克斯·艾梅（Félix Aimé）在控制了一个关键的指挥与控制（C2）服务器后，对该恶意软件进行了分析，并提出了两种潜在的消毒方法。 这包括一个自我删除命令和一种更先进的代码执行方法，以清理系统和连接的驱动器。此次行动主要采用了更简单、侵入性更低的方法来降低风险。 响应公开求助，34个国家请求获取蜜罐日志以识别受感染的网络，而22个国家表示对主动消毒感兴趣。 最终，在巴黎检察院和法国国家宪兵队网络部门的监督下，10个国家开展了消毒行动。 为简化操作，Sekoia仅用一周时间就开发了一个专用的消毒门户。该平台允许参与国家登录，访问受感染资产的详细统计信息，并通过选择特定网络或IP范围来启动消毒行动。 该过程确保了最小程度的干扰。如果IP地址符合预定标准，蜜罐将发送一个小型消毒有效载荷并记录操作。 在整个行动期间，共向5539个IP地址发送了59475个有效载荷。 尽管技术上相对简单，但此次行动凸显了法律层面的复杂性。执法机构和司法部门的积极参与对于遵守国际法律至关重要。 此次合作也为未来的消毒行动树立了先例，展示了主权网络安全合作的潜力。   消息来源：Infosecurity Magazine, 编译：zhongx；  本文由 HackerNews.cc 翻译整理，封面来源于网络；   转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 网络安全公司 ESET 在其 2024 年下半年报告中指出，Lumma Stealer 信息窃取恶意软件在网络犯罪领域迅速崛起，检测量激增了 369%。 自 2022 年首次现身以来，Lumma Stealer 逐步崭露头角，最终在 2024 年下半年跻身 ESET 产品检测的十大信息窃取者之列。这款恶意软件主要针对两因素认证（2FA）浏览器扩展、用户凭证及加密货币钱包发起攻击。 在众多信息窃取者中，长期占据主导地位的 Agent Tesla 恶意软件已被 Formbook 取代。Formbook（又称 XLoader）自 2016 年以来一直活跃于网络犯罪领域，因其作为恶意软件即服务（MaaS）的性质而持续得到开发，并频繁被网络犯罪分子利用。ESET 的一位恶意软件分析师在报告中指出，Formbook 的活跃度持续不减。 与此同时，尽管臭名昭著的“信息窃取者即服务”Redline Stealer 在 2024 年 10 月作为“Magnus 行动”的一部分被国际执法机关拆除，但 ESET 认为，这一行动将促使其他类似威胁的扩张。ESET 恶意软件研究员 Alexandre Côté Cyr 表示，RedLine 信息窃取者的创作者不太可能尝试恢复该恶意软件，因为执法机关已掌握其用户名和最后使用的 IP 地址。他预计，RedLine 被拆除后留下的权力真空将导致其他恶意软件即服务信息窃取者活动的增加。 在勒索软件方面，ESET 分析指出，LockBit 勒索软件被拆除后，其他威胁行为者正在填补这一空缺。值得注意的是，RansomHub 勒索软件即服务在 2024 年下半年占据主导地位，到下半年结束时已累积数百个受害者。 ESET 威胁检测总监 Jiří Kropáč 评论道：“2024 年下半年，网络犯罪分子忙于寻找安全漏洞和创新方式，以扩大受害者群体，继续与防御者进行猫捉老鼠的游戏。因此，我们在遥测数据中观察到新的攻击途径和社交工程方法，以及新威胁的激增。同时，拆除行动也导致了之前稳定的威胁排名发生变化。”   消息来源：Infosecurity Magazine，编译：zhongx；  本文由 HackerNews.cc 翻译整理，封面来源于网络；   转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 朝鲜黑客近期发起了一项名为“Contagious Interview”（传染性面试）的行动，通过虚假的职位邀请针对软件开发人员，传播一种新型恶意软件——“OtterCookie”。 据网络安全公司Palo Alto Networks和NTT Security Japan的研究分析，这项行动自2022年12月以来一直在活跃，并已经演化了多种攻击手段。最初，该行动主要利用BeaverTail和InvisibleFerret等恶意软件进行攻击，但来自NTT Security Japan的报告指出，Contagious Interview行动现在正在使用一种新的恶意软件，名为OtterCookie，该恶意软件可能于2023年9月首次被引入，且在11月出现了新的变种。 与Palo Alto Networks Unit42研究员记录的攻击类似，OtterCookie通过一个加载器传递，该加载器获取JSON数据并将“cookie”属性作为JavaScript代码执行。 NTT表示，尽管BeaverTail仍然是最常见的有效载荷，OtterCookie在一些情况下与BeaverTail一同部署，或单独使用。 该加载器通过从GitHub或Bitbucket下载的Node.js项目或npm包感染目标。然而，最近也使用了构建为Qt或Electron应用程序的文件。 攻击概述 图源：NTT Japan 一旦OtterCookie在目标设备上激活，它会使用Socket.IO WebSocket工具与其命令控制（C2）基础设施建立安全通信，并等待接收指令。 研究人员观察到执行数据窃取的Shell命令（例如收集加密货币钱包密钥、文档、图片及其他有价值信息）。 NTT解释道：“9月版本的OtterCookie已包含内置功能，用于窃取与加密货币钱包相关的密钥。” “例如，checkForSensitiveData函数使用正则表达式检查以太坊私钥，”研究人员指出，并补充说，11月版本的恶意软件对这一点进行了修改，改为通过远程Shell命令来实现此功能。 锁定加密货币信息 图源：NTT Japan 最新版本的OtterCookie还可以将剪贴板数据泄露给威胁行为者，这些数据可能包含敏感信息。 研究人员还检测到一些典型的侦察命令，如ls和cat，这表明攻击者意图探索目标环境，为进一步的深入渗透或横向移动做准备。 OtterCookie恶意软件的出现以及感染方法的多样化，表明Contagious Interview行动背后的威胁行为者正在尝试新的战术。 针对这一威胁，软件开发人员应当提高警惕，核实潜在雇主的信息，避免在个人或工作计算机上随意运行代码，尤其是在应聘过程中要求进行编程测试时。   消息来源：Bleeping Computer, 编译：zhongx；  本文由 HackerNews.cc 翻译整理，封面来源于网络；   转载请注明“转自 HackerNews.cc”并附上原文

据观察，名为 Charming Kitten （迷人小猫）的伊朗APT组织正在部署已知恶意软件 BellaCiao 的 C++ 变体。 卡巴斯基将新版本命名为BellaCPP，该公司表示，它是在“最近”对亚洲一台被感染了 BellaCiao 恶意软件的机器进行调查时发现这个文件的。 BellaCiao于 2023 年 4 月首次被罗马尼亚网络安全公司 Bitdefender 记录在案，该公司将其描述为能够传递额外有效载荷的自定义投放器。Charming Kitten （迷人小猫）黑客组织已在针对美国、中东和印度的网络攻击中部署了该恶意软件。 这也是Charming Kitten （迷人小猫）多年来众多开发定制的恶意软件家族之一。该高级持续威胁 (APT) 组织隶属于伊朗伊斯兰革命卫队 (IRGC)，也被称为 APT35、CALANQUE、Charming Kitten、CharmingCypress、ITG18、Mint Sandstorm（以前称为 Phosphorus）、Newscaster、TA453 和 Yellow Garuda。 虽然该组织曾策划过巧妙的社会工程活动来赢得目标的信任并传播恶意软件，但研究发现，涉及 BellaCiao 的攻击会利用 Microsoft Exchange Server 或 Zoho ManageEngine 等可公开访问的应用程序中已知的安全漏洞。 卡巴斯基研究员 Mert Degirmenci表示：“BellaCiao 是一个基于 .NET 的恶意软件家族，它为入侵增添了独特的变化，将 Web shell 的隐秘持久性与建立隐蔽隧道的能力相结合。” BellaCiao 的 C++ 变体是一个名为“adhapl.dll”的 DLL 文件，它实现与其祖先类似的功能，包含用于加载另一个未知 DLL（“D3D12_1core.dll”）的代码，该 DLL 可能用于创建 SSH 隧道。 BellaCPP 的独特之处在于缺少 BellaCiao 中用于上传和下载任意文件以及运行命令的 Web shell。 Degirmenci 表示：“从高层角度来看，这是没有 Web Shell 功能的 BellaCiao 样本的 C++ 表示”，并补充说 BellaCPP“使用了先前归因于该参与者的域名”。     转自军哥网络安全读报，原文链接：https://mp.weixin.qq.com/s/-w5W0f_bwQql3_QeHIz37A 封面来源于网络，如有侵权请联系删除

Wiz Threat Research 揭示了一个由讲罗马尼亚语的威胁组织 Diicot（又称 Mexals）策划的新恶意软件活动。该活动以 Linux 环境为目标，采用了先进的恶意软件技术，标志着其能力显著升级。该组织一直利用 Linux 系统进行加密劫持，使用 XMRig 等工具和复杂的自传播机制。 据 Wiz Research 称，与早期迭代版本相比，更新后的恶意软件显示出惊人的复杂程度，凸显了攻击者适应和完善其战术的能力。报告指出：“我们分析的恶意软件包括一些显著的改进，反映了更高的复杂程度。”主要的进步包括引入了新的指挥控制（C2）基础设施，从基于 Discord 的 C2 过渡到 HTTP，以及采用 Zephyr 协议和 Monero 挖矿。 Diicot 图表 | 来源：Wiz Research Wiz Research 该恶意软件还改进了混淆技术。例如，修改后的 UPX 标头现在包括损坏的校验和，使标准解包工具失效。这些变化表明，该恶意软件正在努力绕过现代安全措施，阻挠自动检测。 该活动的一个突出特点是它能够根据环境调整自己的行为。在云环境中，恶意软件会优先向其他主机传播，而在传统环境中，它会部署加密有效载荷。报告解释说，“云检测逻辑”“基于远程机器的 Linux 发行版和版本”，显示了该组织对目标的细致关注。 调查中发现的有效载荷包括： Brute-Spreader： 在网络中传播并保持持久性的主要有效载荷。 反向外壳 (client.go)： 允许攻击者完全远程控制被入侵的机器。 SSH 标记扫描器： 识别弱 SSH 凭据以获得初始访问权限。 该活动对运行 OpenSSH 的 Linux 系统构成重大风险。薄弱的凭证和错误配置的安全设置很容易成为这种高级恶意软件的入口点。Wiz 研究人员强调：“如果你的系统依赖 SSH 且没有适当的安全保护，它们很容易成为攻击目标。” 加密劫持仍然是 Diicot 行动的核心动机。攻击者从 Monero 挖矿中赚取了超过 16,000 美元，还从 Zephyr 协议中赚取了更多难以追踪的收入。除了经济损失，企业还面临数据外渗、系统受损和潜在运营中断的风险。 随着 Diicot 集团的不断发展，防御策略也必须与时俱进。Wiz Research 建议加强 SSH 配置，强制执行强密码，并部署能够识别混淆有效载荷的高级检测机制。   转自安全客，原文链接：https://www.anquanke.com/post/id/302932 封面来源于网络，如有侵权请联系删除

HackerNews 编译，转载请注明出处： Rspack开发者近日透露，其两个npm包——@rspack/core与@rspack/cli，不幸遭遇了供应链攻击。攻击者利用未授权的npm发布权限，将含有加密货币挖矿恶意软件的版本上传至官方包管理库中。 在发现该问题后，Rspack团队迅速行动，将存在风险的1.1.7版本从npm注册表中下架，并发布了最新的安全版本1.1.8。 安全供应链领域的专家公司Socket对此进行了分析，指出：“这些被攻击者发布的版本，内含恶意脚本，对系统安全构成严重威胁。” Rspack，这一由字节跳动公司开发的高性能JavaScript打包工具，凭借其Rust编写的高效性，受到了阿里巴巴、亚马逊、Discord和微软等众多公司的青睐。数据显示，受影响的npm包每周下载量分别超过30万和14.5万次。 深入分析感染版本后发现，恶意代码会秘密地将敏感配置信息（如云服务凭证）通过HTTP请求发送至远程服务器（”80.78.28[.]72″），同时还会收集IP地址和位置信息。值得注意的是，此次攻击还特别针对了中国、俄罗斯、中国香港、白俄罗斯和伊朗等地区的机器。 而攻击的最终目的，是在受感染的Linux主机上，通过安装包中的postinstall脚本，自动下载并执行XMRig加密货币挖矿程序。Socket公司表示：“恶意软件通过自动运行的postinstall脚本执行，确保恶意负载无需用户操作即可嵌入目标环境中。” 面对此次攻击，Rspack项目维护者除了发布无恶意代码的新版本外，还采取了多项措施，包括废除所有现有的npm和GitHub令牌、检查代码库和npm包的权限、对源代码进行审计等。目前，针对令牌盗窃的根本原因仍在调查中。 此次事件再次凸显了包管理工具在安全防护方面的不足，需要加强认证检查等保护措施，但即便如此，也无法完全避免此类攻击。 此外，研究还发现，另一npm包vant也遭受了此次供应链攻击的波及。该包每周下载量超过4.1万次。Sonatype公司表示，攻击者成功将多个受感染版本发布至npm注册表，版本范围覆盖2.13.3至4.9.14。 vant项目维护者对此回应称：“此版本旨在修复一个安全问题。我们发现团队成员的npm令牌被窃取，并被用于发布多个含有安全漏洞的版本。我们已经采取措施修复问题，并重新发布了最新版本。”   消息来源：The Hacker News, 编译：zhongx；  本文由 HackerNews.cc 翻译整理，封面来源于网络；   转载请注明“转自 HackerNews.cc”并附上原文