在 2024 年 9 月发布到 npm 注册表的三个恶意软件包中发现了一个名为 BeaverTail 的已知恶意软件,这是一个 JavaScript 下载器和信息窃取器,与朝鲜正在进行的名为 Contagious Interview 的活动有关。
Datadog 安全研究团队正在监控名为 Tenacious Pungsan 的活动,该恶意软件还有 CL-STA-0240 和 Famous Chollima 两个名称。
恶意软件包已无法从软件包注册表中下载,其名称如下
- passports-js,护照的备份副本(118 次下载)
- bcrypts-js,bcryptjs 的篡改副本(81 次下载)
- blockscan-api,ethercan-api 的屏蔽副本(124 次下载)
Contagious Interview(传染性访谈)是指朝鲜民主主义人民共和国(朝鲜)开展的一项为期一年的活动,其中包括诱骗开发人员下载恶意软件包或看似无害的视频会议应用程序,作为编码测试的一部分。它于 2023 年 11 月首次曝光。
这已经不是威胁分子第一次使用 npm 软件包分发 BeaverTail 了。2024 年 8 月,软件供应链安全公司 Phylum 披露了另一批 npm 软件包,它们为部署 BeaverTail 和名为 InvisibleFerret 的 Python 后门铺平了道路。
这些恶意软件包的名称分别是 temp-etherscan-api、etherscan-api、telegram-con、helmet-validate 和 qq-console。这两组软件包的一个共同点是,威胁行为者一直在努力模仿 etherscan-api 软件包,这表明加密货币领域是一个持久的目标。
上个月,Stacklok 说它检测到了新一轮的仿冒软件包–eslint-module-conf 和 eslint-scope-util,这些软件包的目的是收集加密货币,并对被入侵的开发者机器建立持久访问。
Palo Alto Networks 第 42 部门本月早些时候告诉《黑客新闻》,事实证明,利用求职者在网上申请工作机会时的信任感和紧迫感传播恶意软件是一种有效的方式。
这些发现凸显了威胁行为者是如何越来越多地滥用开源软件供应链作为攻击载体来感染下游目标的。
“Datadog表示:”复制和回传合法的npm软件包仍然是威胁行为者在这个生态系统中常用的策略。“这些活动以及更广泛的 Contagious Interview 突出表明,个人开发者仍然是这些与朝鲜有关联的威胁行为者的重要目标。”
1.本站内容仅供参考,不作为任何法律依据。用户在使用本站内容时,应自行判断其真实性、准确性和完整性,并承担相应风险。
2.本站部分内容来源于互联网,仅用于交流学习研究知识,若侵犯了您的合法权益,请及时邮件或站内私信与本站联系,我们将尽快予以处理。
3.本文采用知识共享 署名4.0国际许可协议 [BY-NC-SA] 进行授权
4.根据《计算机软件保护条例》第十七条规定“为了学习和研究软件内含的设计思想和原理,通过安装、显示、传输或者存储软件等方式使用软件的,可以不经软件著作权人许可,不向其支付报酬。”您需知晓本站所有内容资源均来源于网络,仅供用户交流学习与研究使用,版权归属原版权方所有,版权争议与本站无关,用户本人下载后不能用作商业或非法用途,需在24个小时之内从您的电脑中彻底删除上述内容,否则后果均由用户承担责任;如果您访问和下载此文件,表示您同意只将此文件用于参考、学习而非其他用途,否则一切后果请您自行承担,如果您喜欢该程序,请支持正版软件,购买注册,得到更好的正版服务。
5.本站是非经营性个人站点,所有软件信息均来自网络,所有资源仅供学习参考研究目的,并不贩卖软件,不存在任何商业目的及用途
暂无评论内容