朝鲜黑客利用npm传播恶意软件
一家美国网络安全公司表示,朝鲜黑客已将全球最广泛使用的软件库之一转变为恶意软件的传播工具。在上周发布的报告中,供应链安全公司Socket的研究人员发现,超过300个恶意代码包被上传至npm注册中心,这是一个数百万开发者用于共享和安装JavaScript软件的中央仓库。这些软件包——用于网站和加密应用等各种用途的小型可重用代码——被设计得看似无害。然而,一旦下载,它们便会安装能够窃取密码、浏览器数据和加密货币钱包密钥的恶意软件。
Socket表示,这一名为“传染性面试”的活动是由朝鲜国家支持的黑客进行的复杂操作,他们伪装成技术招聘人员,专门针对区块链、Web3及相关行业的开发者。
攻击的严重性
为什么这很重要:npm本质上是现代网络的支柱。其被攻破使得攻击者能够将恶意代码悄无声息地渗透到无数下游应用中。安全专家多年来警告称,这种“软件供应链”攻击是网络空间中最危险的攻击之一,因为它们通过合法的更新和依赖关系隐秘传播。
Socket的研究人员通过一组相似的包名(流行库如express、dotenv和hardhat的拼写错误版本)以及与先前识别的朝鲜恶意软件家族(如BeaverTail和InvisibleFerret)相关的代码模式追踪了这一活动。
攻击者使用加密的“加载器”脚本,直接在内存中解密和执行隐藏的有效载荷,几乎不留下磁盘上的痕迹。
恶意软件的影响
该公司表示,在许多恶意软件包被移除之前,约有50,000次下载发生,尽管仍有一些包在线上。黑客还使用虚假的LinkedIn招聘者账户,这一策略与美国网络安全和基础设施安全局(CISA)记录的先前朝鲜网络间谍活动一致,并在Decrypt上有过报道。调查人员认为,最终目标是持有访问凭证和数字钱包的机器。
虽然Socket的发现与其他安全组织和政府机构的报告一致,后者将朝鲜与总计数十亿美元的加密货币盗窃联系在一起,但对每个细节的独立验证——例如被攻破的包的确切数量——仍在进行中。尽管如此,所描述的技术证据和模式与之前归因于平壤的事件是一致的。
应对措施与建议
npm的拥有者GitHub表示,在发现恶意软件包时会将其移除,并正在改善账户验证要求。但研究人员表示,这一模式就像打地鼠:移除一组恶意软件包后,数百个新的很快就会取而代之。
对于开发者和加密初创公司而言,这一事件凸显了软件供应链的脆弱性。安全研究人员敦促团队将每个“npm install”命令视为潜在的代码执行,在将依赖项合并到项目中之前进行扫描,并使用自动化审核工具捕捉被篡改的软件包。开源生态系统的优势——其开放性——在对手决定将其武器化时,成为了其最大的弱点。
