朝鲜背景供应链攻击利用35个恶意npm包针对开发者
💡
原文中文,约2100字,阅读约需5分钟。
📝
内容提要
网络安全研究人员发现与朝鲜相关的35个恶意npm包,这些包通过虚假招聘信息诱骗开发者下载,累计下载量超过4000次。恶意包包含HexEval加载器,能够收集主机信息并部署窃取程序BeaverTail,进一步下载Python后门InvisibleFerret,允许攻击者远程控制受感染主机,显示出朝鲜黑客的复杂攻击手法。
🎯
关键要点
- 网络安全研究人员发现与朝鲜相关的35个恶意npm包,累计下载量超过4000次。
- 恶意包通过虚假招聘信息诱骗开发者下载,涉及24个npm账户。
- 所有恶意npm包包含HexEval加载器,能够收集主机信息并部署窃取程序BeaverTail。
- BeaverTail会下载并执行Python后门程序InvisibleFerret,允许攻击者远程控制受感染主机。
- 攻击活动被称为'传染性面试',旨在获取开发者系统的未授权访问权限。
- 攻击者伪装成招聘人员,通过LinkedIn联系求职者,诱导其安装恶意软件。
- 这一恶意活动结合了恶意软件部署、开源情报驱动的目标定位和社会工程学。
- 攻击者通过嵌入恶意软件加载器和虚假工作任务绕过外围防御,获得执行权限。
❓
延伸问答
朝鲜的恶意npm包攻击是如何进行的?
攻击者通过虚假招聘信息诱骗开发者下载恶意npm包,这些包包含HexEval加载器,能够收集主机信息并部署窃取程序BeaverTail。
这些恶意npm包的下载量有多少?
这些恶意npm包的累计下载量超过4000次。
攻击者使用了哪些技术来实施攻击?
攻击者使用了HexEval加载器和社会工程学策略,通过伪装成招聘人员诱导开发者安装恶意软件。
恶意npm包中包含哪些具体的恶意软件?
恶意npm包中包含HexEval加载器、窃取程序BeaverTail和Python后门程序InvisibleFerret。
朝鲜黑客的攻击目标是什么?
朝鲜黑客的攻击目标是获取开发者系统的未授权访问权限,窃取加密货币和数据。
如何防范这类恶意npm包的攻击?
开发者应提高警惕,避免下载不明来源的npm包,并对招聘信息进行核实。
➡️
