恶意npm与VS Code包窃取数据及加密货币资产
💡
原文中文,约2400字,阅读约需6分钟。
📝
内容提要
安全研究人员发现60个恶意npm包,这些包伪装成流行框架,窃取主机名、IP地址等敏感信息并发送至Discord,已被下载超过3000次。攻击者通过钓鱼邮件结合恶意npm包窃取用户凭证,同时利用VS Code扩展窃取加密货币钱包信息,显示出其复杂手法和持续威胁。
🎯
关键要点
- 安全研究人员发现60个恶意npm包,窃取主机名、IP地址等敏感信息并发送至Discord。
- 这些恶意包已被下载超过3000次,攻击者通过钓鱼邮件结合恶意npm包窃取用户凭证。
- 恶意代码专门设计用于对安装该包的机器进行指纹识别,并在检测到虚拟化环境时中止执行。
- 另外8个npm包伪装成流行JavaScript框架,安装后部署破坏性负载,已被下载6200余次。
- 部分恶意包会递归删除与Vue.js、React和Vite相关的文件,其他则篡改浏览器存储机制。
- 攻击者通过钓鱼邮件与恶意npm包结合,窃取用户凭证并引导至伪造的登录页面。
- 微软VS Code应用商店中发现恶意扩展程序,专门窃取加密货币钱包凭证。
- 这些扩展伪装成合法工具,隐藏恶意代码,最终目的是劫掠以太坊钱包并泄露数据。
- MUT-9332被认定为近期恶意VS Code扩展活动的幕后黑手,展现出隐藏恶意意图的创造力。
❓
延伸问答
恶意npm包是如何窃取用户信息的?
恶意npm包通过安装时触发的脚本收集主机名、IP地址等信息,并将其发送至Discord。
这些恶意npm包的下载量有多少?
这些恶意npm包已被下载超过3000次。
攻击者是如何结合钓鱼邮件与恶意npm包的?
攻击者通过钓鱼邮件引导用户安装恶意npm包,包内的JavaScript代码会定制钓鱼链接,窃取用户凭证。
有哪些恶意VS Code扩展被发现?
发现的恶意VS Code扩展包括solaibot、among-eth和blankebesxstnion,它们专门窃取加密货币钱包凭证。
恶意npm包是如何伪装成流行框架的?
恶意npm包伪装成流行的JavaScript框架,如React和Vue.js,隐藏其恶意负载。
MUT-9332是什么?
MUT-9332是被认定为近期恶意VS Code扩展活动的幕后黑手,展现出隐藏恶意意图的创造力。
➡️
