Lazarus Group 用 6 个新的恶意 npm 包欺骗开发者

快速阅读: 《Cyber Scoop 独家新闻》消息，网络安全公司Socket披露，与朝鲜有关的黑客组织Lazarus入侵npm注册表，植入六个恶意软件包，伪装成可信库诱导开发者下载，窃取加密货币钱包数据。这些包已被删除，但部分已被下载超330次。Lazarus曾盗取ByBit逾14亿美元加密货币。

网络安全公司Socket的研究人员在周一的博客文章中透露，Lazarus组织已经深入npm注册表，并植入了六个全新的恶意软件包，意图欺骗软件开发人员并破坏其工作流程。根据Socket的说法，与朝鲜有关的威胁组织将BeaverTail恶意软件嵌入到npm软件包中，以安装后门并窃取加密货币钱包中的凭据和数据。这种恶意代码主要针对npm，它是JavaScript编程语言的软件包管理器，由微软旗下的GitHub子公司负责维护。这六个恶意软件包已于周三全部被删除。

据Socket研究人员称，包含BeaverTail恶意软件的软件包延续了Lazarus组织一贯的战术，其中包括is-buffer-validator、yoojae-validator、event-handle-package、array-empty-validator、react-event-dependency和auth-validator。这些软件包的名字高度仿冒广受信任的库，采用了Lazarus相关威胁行为者常用的知名拼写劫持策略，从而欺骗开发者。Socket威胁情报分析师基里尔·博伊琴科（Kirill Boychenko）在博客文章中提到，“这六个新软件包总共被下载超过330次，它们的名字高度仿冒广受信任的库，利用拼写劫持手段误导开发者。”

博伊琴科补充道，Lazarus组织还为五个恶意软件包创建并维护了GitHub存储库，营造出开源合法性的假象，从而增加有害代码被集成到开发人员工作流中的可能性。恶意软件包的命名方式表明，Lazarus组织了解Socket对其先前恶意npm活动的研究。其中名为is-buffer-validator的软件包特别类似于Socket首席执行官费罗斯·阿布卡迪杰赫（Feross Aboukhadijeh）于2015年首次编写的is-buffer模块。合法的is-buffer软件包已经被下载超过1.34亿次。

根据Socket的说法，嵌入到恶意软件包中的恶意代码反映了之前与Lazarus组织相关的活动所观察到的技术，包括自调用函数、动态函数构造器以及数组移位以隐藏软件包功能。BeaverTail恶意软件允许多阶段有效载荷交付和持久机制，以便实现长期访问。该代码会收集系统环境信息，提取敏感登录文件和密钥链存档。

据Socket研究团队指出，恶意软件还通过从Solana提取id.json和从Exodus提取exodus.wallet的方式来针对加密货币钱包，随后将数据上传至预设的C2服务器，这一操作反映了Lazarus组织的另一战术，即收集并传输被盗数据。据美国政府披露，这个由朝鲜早在2007年组建的臭名昭著的恶意黑客集体上个月从加密货币交易所ByBit窃取了价值14.6亿美元的以太坊。这起事件是有史以来已知的最大规模金融盗窃案。

整理后的文本如下：

—

网络安全公司Socket的研究人员在周一的博客文章中披露，Lazarus组织已经深入npm注册表，并植入了六个全新恶意软件包，意图欺骗软件开发人员并破坏其工作流程。根据Socket的说法，与朝鲜有关的威胁组织将BeaverTail恶意软件嵌入到npm软件包中，以安装后门并窃取加密货币钱包中的凭据和数据。这种恶意代码主要针对npm，它是JavaScript编程语言的软件包管理器，由微软旗下的GitHub子公司负责维护。这六个恶意软件包已于周三全部被删除。

据Socket研究人员称，包含BeaverTail恶意软件的软件包延续了Lazarus组织一贯的战术，其中包括is-buffer-validator、yoojae-validator、event-handle-package、array-empty-validator、react-event-dependency和auth-validator。这些软件包的名字高度仿冒广受信任的库，采用了Lazarus相关威胁行为者常用的知名拼写劫持策略，从而欺骗开发者。Socket威胁情报分析师基里尔·博伊琴科（Kirill Boychenko）在博客文章中提到：“这六个新软件包总共被下载超过330次，它们的名字高度仿冒广受信任的库，利用拼写劫持手段误导开发者。”

—

希望这样的排版能让内容更易读且更具吸引力！

(以上内容均由Ai生成)