朝鲜Npm恶意软件在虚假招聘中针对开发者

首页新闻* 研究人员发现与朝鲜威胁行为者相关的35个新恶意npm包。

• 这些包被下载了超过 4,000 次，并从 24 个 npm 账户发布。
• 该活动使用编码的恶意软件加载器来传送信息窃取器和远程访问工具。
• 攻击者伪装成招聘人员，利用 LinkedIn 等网站上的假工作任务针对开发人员。
• 此操作旨在从被攻击的开发者系统中窃取加密货币和敏感数据。 网络安全专家已识别出35个与正在进行的“传染性面试”网络攻击活动相关的有害npm包，该活动被归因于来自北韩的国家支持团体。这波新的恶意软件出现在npm开源软件包平台上，目标是开发者和求职者。

• 广告 - 根据 Socket 的说法，这些软件包来自 24 个不同的 npm 账户，并且已经获得超过 4,000 次下载。在被发现时，其中六个软件包，包括 “react-plaid-sdk”，“sumsub-node-websdk”和 “router-parse”，仍然公开可用。

每个包裹包含一个名为HexEval的工具，这是一个十六进制编码的加载程序，在安装后收集有关主机计算机的信息。HexEval选择性地部署另一个名为BeaverTail的恶意程序，该程序可以下载并运行一个基于Python的后门，名为InvisibleFerret。这个序列使黑客能够窃取敏感数据并远程控制被感染的系统。“这种套娃结构帮助该活动躲避基本的静态扫描器和手动审查，” Socket研究员Kirill Boychenko表示。

该活动通常始于威胁行为者在 LinkedIn 等平台上冒充招聘人员。他们联系软件工程师并通过链接发送虚假的工作任务，这些链接指向托管在 GitHub 或 Bitbucket 上的项目，这些项目中嵌入了这些 npm 包。受害者随后被说服下载并运行这些项目，有时是在不安全的环境中。

“传染性访谈”行动首次由Palo Alto Networks Unit 42在2023年底详细介绍，旨在未经授权访问开发者机器，主要用于加密货币和数据盗窃。该行动也被称为CL-STA-0240、DeceptiveDevelopment和Gwisin Gang。

Socket报告称，当前攻击者战术结合了带有恶意软件的开源包、量身定制的社会工程学和分层交付机制，以绕过安全系统。该活动显示出持续的改进，增加了跨平台的键盘记录器和新的恶意软件交付技术。

最近的活动包括使用一种名为 ClickFix 的社会工程策略，该策略投放恶意软件，如 GolangGhost 和 PylangGhost。这个子活动 ClickFake Interview 继续针对开发者，必要时提供定制的有效载荷以进行更深入的监控。

• 广告 - 更多详细信息和受影响的npm包完整列表可以通过Socket的公开声明找到。

之前的文章:

• Argent Wallet 更名为 Ready，采用双重产品战略
• YESminer推出基于人工智能的加密平台，赠送免费奖金
• 韩国银行希望银行主导稳定币发行，关注安全性
• 伯尼·桑德斯警告人工智能和机器人威胁就业；呼吁新的保护措施
• 参议院关于加密市场结构的听证会仅吸引了五名成员

• 广告 -