loading...
据美国网络安全公司Socket披露,朝鲜黑客已将全球最常用的JavaScript包管理平台npm转变为传播恶意软件的渠道。研究人员发现超过300个恶意代码包被上传至npm注册表,这些包表面为常见开发工具(如express、dotenv、hardhat),实则嵌入可窃取密码、浏览器数据及加密货币钱包密钥的恶意程序。
该行动被命名为“传染性采访”,由朝鲜政府支持的黑客组织主导。攻击者通过拼写错误的包名模仿主流库,并使用内存中解密的加密加载器隐藏有效载荷,几乎不留磁盘痕迹。这种手法与此前归因于平壤的Beaver Tail和Stealth Fennec等恶意软件家族高度一致。
研究显示,攻击者利用虚假LinkedIn招聘账号吸引区块链及Web3领域技术人员,诱使其安装恶意包。这与美国网络安全和基础设施安全局(CISA)此前报告的朝鲜网络间谍行为模式相符。尽管部分恶意包已被删除,但已有约5万次下载记录,部分仍在活跃状态。
作为现代软件开发的核心基础设施,npm的安全性至关重要。一旦被攻陷,攻击者可通过合法依赖项将恶意代码植入数百万应用程序。尽管GitHub已承诺加强账户验证并快速清理恶意包,但研究人员指出,此类应对如同打地鼠——清除一批后,新包迅速补位。
安全专家强调,开发者必须重新审视“npm install”这一常规操作,将其视为潜在代码执行风险。应建立严格的依赖审查流程,使用自动化扫描工具检测异常行为,并对所有第三方包进行签名验证。开源生态的开放性虽推动创新,但在恶意行为者眼中,也成为其武器化的突破口。
此次事件再次印证了软件供应链攻击是当前最危险的威胁之一。随着区块链行业快速发展,开发者的安全意识与基础设施防护能力亟需同步提升,以抵御来自国家层面的高级持续性威胁。
538
713
407
876
365
380
874
318
211
346
