Lazarus Group以恶意npm包、窃取凭据、加密和安装后门等方式攻击开发人员。保持警惕以保护您的项目。

臭名昭著的Lazarus Group是一个受朝鲜政府支持的黑客组织，它又卷土重来。这一次，他们将恶意代码偷偷植入流行的npm软件存储库，而npm软件存储库是全球无数开发人员的重要资源。

Socket研究团队的网络安全研究人员发现了六个新的虚假软件包，这些软件包已被下载约330次，旨在渗透开发人员的计算机、窃取登录详细信息、窃取加密货币信息，甚至安装后门以供长期访问。

可以将npm视为JavaScript代码的大型在线库。开发人员使用它来获取预先构建的软件片段（称为“软件包”），以节省构建自己的应用程序的时间和精力。如果黑客可以将恶意软件包偷偷放入此库中，他们就可以感染下载和使用它的任何人。

Lazarus Group在其最新活动中 使用了“域名抢注”技术，创建了名称与合法、广泛使用的软件包非常 相似的软件包。例如，他们创建了“is-buffer-validator”，听起来很像真正的“is-buffer”软件包。这很容易让开发人员意外下载错误的东西。

其他恶意软件包包括yoojae-validator、、、和event-handle-package。array-empty-validatorreact-event-dependencyauth-validator

根据Socket研究团队的博客文章，为了让这些虚假软件包看起来更加可信，黑客甚至为其中一些软件包设置了虚假的GitHub页面。GitHub是开发人员经常共享和协作代码的地方，因此在那里出现会增加一层（虚假的）合法性。

正如网络安全公司SOCRadar的首席安全官Ensar Seker指出的那样，“恶意npm软件包是一种特别有效的攻击媒介，因为开发人员通常会信任开源存储库，而不会进行彻底审查。” 他补充说，攻击者“将恶意代码嵌入依赖项中，确保恶意软件在毫无戒心的开发人员每次安装或更新软件包时都会传播。”

Lazarus Group曾通过供应链攻击针对开发人员。在此次活动中，嵌入在受感染软件包中的恶意软件执行了多项恶意活动。它通过收集系统详细信息（例如主机名、操作系统和目录结构）来窃取敏感数据。此外，它还通过在浏览器配置文件中搜索 Chrome、Brave 和 Firefox 中存储的登录信息来提取凭据。

该恶意软件还针对加密货币钱包，专门寻找Solana(id.json)和Exodus()钱包文件来窃取加密资产。此外，它还通过下载其他恶意软件（包括InvisibleFerret后门）exodus.wallet来安装后门，这使攻击者能够保持对受感染系统的持续访问。

Seker指出，对加密货币的关注与朝鲜已知的战略一致。“这些程序包旨在窃取与加密货币相关的数据，这与朝鲜国家支持的网络犯罪目标相符，这些目标涉及金融盗窃以资助政权活动，”他解释道。“Lazarus长期以来一直以加密钱包、交易所和金融科技公司为目标。”

其影响不仅限于个人开发者。Seker警告称：“一旦安装，这些带后门的软件包可能让Lazarus能够访问开发者凭证、SSH密钥和云访问令牌，从而允许整个组织进行横向移动，而不仅仅是单个受害者。”

好消息是，GitHub已删除了Socket研究小组识别和报告的所有恶意软件包。但这并不意味着Lazarus Group不再运营其他恶意软件包。

为了减轻供应链攻击带来的风险，开发人员和组织都应采取主动的安全措施。开发人员应在安装前通过检查发布者的信誉和下载数量来验证软件包来源。

利用Socket AI Scanner等安全工具，可以在恶意依赖项添加到项目之前帮助检测它们。此外，通过实施沙盒、端点保护和阻止可疑出站连接来启用多层安全性，可以增加额外的防御层。

组织可以通过自动执行依赖项审核来定期扫描第三方软件包中的漏洞，从而进一步增强安全性。监控依赖项更改并针对项目中的意外更新设置警报有助于及早发现潜在威胁。最后，教育团队有关域名抢注的知识并培训开发人员识别可疑的软件包名称对于防止攻击非常重要。