朝鲜 Lazarus 黑客组织通过 npm 软件包实施大规模网络攻击  

HackerNews 编译，转载请注明出处：

知名朝鲜黑客组织Lazarus近日被曝在npm（Node包管理器）平台投放6个恶意软件包，目前已累计被下载330次。这些软件包通过窃取账户凭证、部署后门程序等手段，专门针对加密货币敏感信息实施窃取。

网络安全公司Socket研究团队发现，此次攻击行动与Lazarus组织过往的软件供应链攻击模式高度吻合。该组织长期潜伏于npm、GitHub和PyPI（Python软件包索引）等开发者平台，通过投毒攻击渗透目标系统。其惯用手法曾导致Bybit交易所遭遇15亿美元加密货币盗窃案，创下历史最高纪录。

六大恶意软件包特征  

本次发现的恶意软件包均采用"仿冒拼写"策略诱导开发者误装：  

1. is-buffer-validator：仿冒流行库is-buffer，实施凭证窃取  

2. yoojae-validator：伪装验证工具窃取系统敏感数据  

3. event-handle-package：伪装事件处理工具部署远程后门  

4. array-empty-validator：窃取系统及浏览器凭证  

5. react-event-dependency：伪装React工具植入恶意程序  

6. auth-validator：窃取登录凭证与API密钥  

据Socket报告披露，这些软件包内嵌的恶意代码具备多重窃取功能，包括劫持Chrome、Brave、Firefox浏览器的登录数据、Cookies及历史记录，窃取macOS系统密钥链信息，针对Solana钱包的id.json文件及Exodus钱包文件实施定向窃取，包括植入朝鲜黑客惯用的"BeaverTail"恶意软件和"InvisibleFerret"后门程序。

目前所有恶意软件包仍存在于npm及GitHub平台。安全专家建议开发者严格审查项目依赖包来源，重点排查开源代码中的混淆代码、非常规服务器连接请求并警惕名称与知名库相似的软件包。

此次事件再次凸显软件供应链安全风险。Lazarus组织自2023年起持续活跃，其攻击范围已覆盖金融、加密货币等多个关键领域。

消息来源：Bleeping Computer；

本文由 HackerNews.cc 翻译整理，封面来源于网络；  

转载请注明“转自 HackerNews.cc”并附上原文