朝鮮黑客通過開源軟件中心攻擊加密貨幣開發者

一家美國網絡安全公司表示，朝鮮黑客已將全球使用最廣泛的軟件庫之一變成了惡意軟件的傳播系統。 報告上週，研究人員插座供應鏈安全公司表示，他們發現超過 300 個惡意代碼包上傳至 npm 註冊表，數百萬開發人員用來共享和安裝 JavaScrIPt 軟件的中央存儲庫。

這些軟件包——從網站到加密應用程序等各種領域使用的可重複使用的小代碼片段——設計得看似無害。 但一旦下載，它們安裝了能夠竊取密碼、瀏覽器數據和加密貨幣錢包密鑰的惡意軟件Socket 表示，這項名為“傳染性採訪”是朝鮮政府支持的黑客他們假扮技術招聘人員，瞄準區塊鏈、Web3 和相關行業的開發人員。

為什麼重要：npm軟件本質上是現代網絡的支柱。 一旦攻陷它，攻擊者就能將惡意代碼植入無數下游應用程序中。 多年來，安全專家一直警告稱，此類“軟件供應鏈”攻擊是網絡空間中最危險的攻擊之一，因為它們會通過合法的更新和依賴項進行隱形傳播。

通往朝鮮的路徑

Socket 的研究人員通過一組相似的軟件包名稱（流行庫的拼寫錯誤版本，例如表達, DOTenv， 和 安全帽— 並通過與之前發現的朝鮮惡意軟件家族相關的代碼模式，稱為海狸尾 和 隱形雪貂攻擊者使用加密的“加載器”腳本，直接在內存中解密並執行隱藏的有效載荷，在磁盤上幾乎不留下任何痕跡。

該公司粗略地表示5萬次下載惡意軟件包在許多被刪除之前就已經存在，儘管有些仍然在線。 黑客還利用虛假 LINKedIn 招聘人員賬戶，這一策略與朝鮮此前記錄的網絡間諜活動一緻美國網絡安全和基礎設施安全局（CISA）並曾報導解密調查人員認為，最終目標是持有訪問憑證和數字錢包的機器。

雖然Socket的調查結果與其他安全組織和政府機構的報告一致，這些報告將朝鮮與總額達數十億美元的加密貨幣盜竊案聯繫起來，但所有細節（例如被盜包裹的具體數量）仍需獨立核實。 儘管如此，所描述的技術證據和模式與此前歸咎於平壤的事件一致。

Npm 的所有者，GitHub 曾表示它會在發現惡意軟件後將其刪除，並改進賬戶驗證要求。 但研究人員表示，這種模式就像打地鼠一樣：刪除一組惡意軟件，很快就會有數百個惡意軟件取而代之。

對於開發者和加密貨幣初創公司來說，這一事件凸顯了軟件供應鏈已經變得多麼脆弱。 安全研究人員敦促各團隊將每個“npm install”命令視為潛在的代碼執行在將依賴項合併到項目中之前對其進行掃描，並使用自動審查工具來捕獲被篡改的軟件包。 開源生態系統的優勢——開放性——在對手決定將其武器化時，仍然是其最大的弱點。