網路安全研究人員發現,與朝鮮相關的Lazarus組織在npm和Python包索引(PyPI)倉庫中投放了一批新的惡意軟體包,這些軟體包與一個虛假招聘主題活動有關。
這一協調攻擊活動被命名為graphalgo,名稱來源於在npm註冊表中發布的第一個軟體包。據評估,該活動自2025年5月以來一直處於活躍狀態。
ReversingLabs研究員Karlo Zanki在報告中表示:"攻擊者通過LinkedIn和Facebook等社交平台,或通過Reddit等論壇上的工作機會接觸開發者。該活動包括一個圍繞區塊鏈和加密貨幣交易公司精心策劃的故事。"
值得注意的是,其中一個已識別的npm包bigmathutils在發布第一個非惡意版本後,在包含惡意載荷的第二個版本發布之前,吸引了超過10,000次下載。
惡意軟體包清單
npm平台的惡意包包括:graphalgo、graphorithm、graphstruct、graphlibcore、netstruct、graphnetworkx、terminalcolor256、graphkitx、graphchain、graphflux、graphorbit、graphnet、graphhub、terminal-kleur、graphrix、bignumx、bignumberx、bignumex、bigmathex、bigmathlib、bigmathutils、graphlink、bigmathix、graphflowx等。
PyPI平台的惡意包包括:graphalgo、graphex、graphlibx、graphdict、graphflux、graphnode、graphsync、bigpyx、bignum、bigmathex、bigmathix、bigmathutils等。
攻擊手法分析
與朝鮮威脅行為者進行的許多以工作為重點的活動一樣,攻擊鏈始於建立一個虛假公司,如在區塊鏈和加密貨幣交易領域的Veltrix Capital,然後建立必要的數字基礎設施來營造合法性的錯覺。
這包括註冊域名並創建相關的GitHub組織來託管多個用於編碼評估的倉庫。這些倉庫被發現包含基於Python和JavaScript的項目。
Zanki表示:"檢查這些倉庫沒有發現任何明顯的惡意功能,這是因為惡意功能不是通過工作面試倉庫直接引入的,而是間接引入的——通過託管在npm和PyPI開源包倉庫中的依賴項。"
建立這些倉庫的目的是欺騙在Reddit和Facebook群組上申請其職位列表的候選人在他們的機器上運行項目,從而有效地安裝惡意依賴項並觸發感染。在某些情況下,受害者直接被LinkedIn上看似合法的招聘人員聯繫。
惡意載荷功能
這些軟體包最終充當部署遠程訪問木馬(RAT)的渠道,該木馬定期從外部伺服器獲取和執行命令。它支持各種命令來收集系統資訊、枚舉文件和目錄、列出正在運行的進程、創建文件夾、重命名文件、刪除文件以及上傳/下載文件。
有趣的是,命令和控制(C2)通信受到基於令牌的機制保護,以確保只有帶有有效令牌的請求才被接受。這種方法之前在2023年與名為Jade Sleet(也稱為TraderTraitor或UNC4899)的朝鮮黑客組織相關的活動中觀察到過。
它的工作原理是:軟體包將系統數據作為註冊步驟的一部分發送給C2伺服器,伺服器響應一個令牌。然後在後續請求中將此令牌發送回C2伺服器,以確認它們來自已註冊的受感染系統。
其他相關威脅
此次披露之際,JFrog發現了一個名為"duer-js"的複雜惡意npm包,由用戶"luizaearlyx"發布。雖然該庫聲稱是一個"使控制台窗口更可見"的實用程序,但它隱藏了一個名為Bada Stealer的Windows資訊竊取器。
它能夠從Google Chrome、Microsoft Edge、Brave、Opera和Yandex瀏覽器收集Discord令牌、密碼、cookie和自動填充數據,以及加密貨幣錢包詳細資訊和系統資訊。數據隨後被泄露到Discord webhook,以及作為備份的Gofile文件存儲服務。
同時還發現了另一個惡意軟體活動,該活動武器化npm,在使用"npm install"命令安裝軟體包期間向開發者勒索加密貨幣支付。該活動首次記錄於2026年2月4日,被OpenSourceMalware稱為XPACK ATTACK。
這些由用戶"dev.chandra_bose"上傳的軟體包包括:xpack-per-user、xpack-per-device、xpack-sui、xpack-subscription、xpack-arc-gateway、xpack-video-submission、test-npm-style、xpack-subscription-test、testing-package-xdsfdsfsc。
安全研究員Paul McCarty說:"與竊取憑據或執行反向shell的傳統惡意軟體不同,這種攻擊創新性地濫用HTTP 402'需要付費'狀態碼來創建看似合法的付費牆。攻擊阻止安裝,直到受害者向攻擊者的錢包支付0.1 USDC/ETH,同時收集GitHub用戶名和設備指紋。"
Q&A
Q1:Lazarus組織的惡意軟體包攻擊是如何進行的?
A:Lazarus組織首先創建虛假的區塊鏈公司如Veltrix Capital,然後通過LinkedIn、Facebook等社交平台或Reddit論壇發布虛假招聘資訊。當開發者申請職位並運行編碼測試項目時,會自動安裝包含惡意代碼的npm或PyPI依賴包,從而觸發感染並部署遠程訪問木馬。
Q2:這些惡意軟體包具有什麼功能?
A:惡意軟體包會部署遠程訪問木馬,能夠收集系統資訊、枚舉文件和目錄、列出運行進程、創建/刪除文件、上傳下載文件等。它還會檢查MetaMask瀏覽器擴展是否安裝,顯示攻擊者對加密貨幣的關注,並使用基於令牌的機制保護C2通信。
Q3:開發者如何防範此類軟體包供應鏈攻擊?
A:開發者應該仔細審查第三方包的來源和維護者資訊,避免安裝來源不明或下載量異常的包。對於招聘測試項目,應在隔離環境中運行,並檢查項目依賴項。同時要保持警惕,對通過社交媒體聯繫的招聘機會進行驗證。
