北韩骇客组织利用恶意 NPM 包进行社交工程攻击

主要重点

• 北韩的 Lazarus Group（又名 TraderTraitor 和 Jade Sleet）利用恶意 NPM 包依赖和GitHub邀请进行社交工程攻击。
• 目标是网络安全、加密货币、区块链和在线博彩的开发者。
• GitHub的安全警告指出，攻击者假冒开发者和招聘者，引诱目标参与使用恶意依赖的项目合作。
• 受害者的所有 GitHub 和 NPM 帐户已被暂停，GitHub 强调这些攻击未影响其系统。

根据 的报导，北韩国家支持的骇客组织 Lazarus Group 利用恶意 NPM 包依赖和 GitHub的邀请，在有限的社交工程攻击中针对网络安全、加密货币、区块链和在线博彩的开发者进行攻击。GitHub 在安全警告中表示，攻击者假冒 GitHub的开发者和招聘者，试图引诱目标参与那些能利用恶意 NPM 依赖的项目。这些依赖的使用使得恶意软体得以分发。

为应对这些攻击，GitHub 已暂停了所有受到影响的 GitHub 和 NPM 帐户。然而，GitHub 强调这次攻击并未对任何 GitHub 或 NPM系统造成影响。上个月，Phylum 的一项研究首次详细说明了作为恶意下载器的 NPM 包的运用。Phylum研究人员指出：“这次攻击的特点在于其独特的执行链要求：同一台机器上必须按照特定的安装顺序安装两个不同的包。此外，这些恶意组件被隐藏在他们的伺服器上，在执行过程中动态发送。”

这一事件凸显了社交工程攻击对开发者带来的威胁，特别是在使用公共代码库和社交平台进行协作的环境中。开发者应提高警觉，对不明邀请保持警惕，并经常检查所使用的依赖包是否安全。