一家美国网络安全公司表示，朝鲜黑客已将全球最广泛使用的软件库之一转变为恶意软件的传播系统。在上周的一份报告中，供应链安全公司Socket的研究人员表示，他们发现有超过300个恶意代码包被上传到npm注册表，这是一个数百万开发者用于共享和安装JavaScript软件的中央存储库。

这些包——用于从网站到加密应用程序的可重用代码的小片段——被设计得看起来无害。但一旦下载，它们就会安装能够窃取密码、浏览器数据和加密货币钱包密钥的恶意软件。Socket表示，这一名为“传染性面试”的活动是由朝鲜国家支持的黑客进行的复杂操作的一部分，他们伪装成技术招聘人员，针对在区块链、Web3及相关行业工作的开发者。

重要性

npm本质上是现代网络的支柱。对其的妥协使攻击者能够将恶意代码悄无声息地渗透到无数下游应用中。安全专家多年来警告称，这种“软件供应链”攻击是网络空间中最危险的攻击之一，因为它们通过合法的更新和依赖关系隐形传播。

通往朝鲜的线索

Socket的研究人员通过一组相似的包名追踪了这一活动——这些包名是流行库如express、dotenv和hardhat的拼写错误版本——以及与之前识别的朝鲜恶意软件家族BeaverTail和InvisibleFerret相关的代码模式。攻击者使用加密的“加载器”脚本，直接在内存中解密和执行隐藏的有效负载，几乎不留下磁盘痕迹。

该公司表示，在许多恶意包被移除之前，大约发生了50,000次下载，尽管一些仍然在线。黑客还使用虚假的LinkedIn招聘者账户，这一战术与美国网络安全和基础设施安全局（CISA）记录的之前朝鲜网络间谍活动一致，并在Decrypt中有过报道。调查人员认为，最终目标是持有访问凭证和数字钱包的机器。

虽然Socket的发现与其他安全组织和政府机构的报告一致，这些报告将朝鲜与总计数十亿美元的加密货币盗窃联系在一起，但对每个细节的独立验证——例如被妥协包的确切数量——仍在进行中。尽管如此，所描述的技术证据和模式与之前归因于平壤的事件是一致的。

npm的所有者GitHub表示，在发现恶意包时会将其移除，并正在改善账户验证要求。但研究人员表示，这一模式就像打地鼠：移除一组恶意包后，数百个新的包很快就会取而代之。

对于开发者和加密初创公司而言，这一事件突显了软件供应链的脆弱性。安全研究人员敦促团队将每个“npm install”命令视为潜在的代码执行，在将依赖项合并到项目之前进行扫描，并使用自动化审查工具来捕捉被篡改的包。开源生态系统的优势——其开放性——在对手决定将其武器化时，仍然是其最大的弱点。

免责声明：本文章仅代表作者个人观点，不代表本平台的立场和观点。本文章仅供信息分享，不构成对任何人的任何投资建议。用户与作者之间的任何争议，与本平台无关。如网页中刊载的文章或图片涉及侵权，请提供相关的权利证明和身份证明发送邮件到support@aicoin.com，本平台相关工作人员将会进行核查。