朝鲜升级供应链恶意软件XORIndex,再次瞄准npm生态系统
💡
原文中文,约1200字,阅读约需3分钟。
📝
内容提要
朝鲜黑客组织利用新型恶意软件XORIndex进行“传染性面试”攻击,渗透npm软件包注册表,上传67个恶意包,其中28个携带XORIndex,目标包括开发者和加密货币持有者,数据被窃取并上传。安全专家建议提高警惕,防范软件供应链攻击。
🎯
关键要点
- 朝鲜黑客组织利用新型恶意软件XORIndex进行传染性面试攻击。
- 攻击通过npm软件包注册表渗透软件供应链,上传67个恶意包,其中28个携带XORIndex。
- 目标包括开发者、求职者和持有加密货币资产或敏感凭证人员。
- 截至报告发布时,仍有27个恶意包处于活跃状态,累计下载量超过1.7万次。
- XORIndex恶意软件采用XOR编码字符串和基于索引的混淆技术,攻击流程分为四个阶段。
- 第一阶段收集主机元数据并通过硬编码C2服务器传输数据。
- 第二阶段使用eval()执行JavaScript有效载荷,加载BeaverTail等恶意程序,窃取数据。
- BeaverTail恶意软件扫描加密货币钱包、浏览器扩展程序和关键配置文件目录。
- 收集的数据被压缩并上传,同时加载执行第三阶段恶意程序InvisibleFerret。
- XORIndex从基础原型到成熟恶意软件的演变过程被详细揭示。
- 安全专家建议开发者和开源社区保持高度警惕,防范软件供应链渗透和定向攻击。
❓
延伸问答
XORIndex恶意软件的主要攻击目标是什么?
XORIndex的主要攻击目标包括开发者、求职者以及持有加密货币资产或敏感凭证的人员。
XORIndex恶意软件是如何渗透软件供应链的?
XORIndex通过npm软件包注册表上传恶意软件包,从而渗透软件供应链。
XORIndex恶意软件的攻击流程分为几个阶段?
XORIndex的攻击流程分为四个阶段。
BeaverTail恶意软件的功能是什么?
BeaverTail恶意软件会扫描加密货币钱包、浏览器扩展程序和关键配置文件目录,以窃取数据。
安全专家对开发者有什么建议?
安全专家建议开发者和开源社区保持高度警惕,防范软件供应链渗透和定向攻击。
截至报告发布时,有多少个恶意包仍处于活跃状态?
截至报告发布时,仍有27个恶意包处于活跃状态。
➡️
