首頁 > 安全研究 > 安全通報 > 安全簡訊

Lazarus Group卷土重來:npm軟件存儲庫遭惡意代碼植入攻擊

發布時間 2025-03-12

1. Lazarus Group卷土重來:npm軟件存儲庫遭惡意代碼植入攻擊


3月12日,臭名昭著的Lazarus Group黑客組織再次活躍,這次他們將惡意代碼植入全球開發人員依賴的npm軟件存儲庫。npm作為JavaScript代碼的大型在線庫,被開發人員廣泛用于獲取預先構建的軟件片段。Lazarus Group利用“域名搶注”技術,創建了與合法軟件包名稱相似的虛假軟件包,并設置了虛假的GitHub頁面以增加可信度。這些虛假軟件包已被下載數百次,旨在滲透開發人員的計算機,竊取登錄信息、加密貨幣信息,并安裝后門以供長期訪問。感染后,惡意軟件會執行多項惡意活動,包括收集系統詳細信息、提取瀏覽器中的登錄憑據、竊取加密貨幣錢包,并安裝其他惡意軟件以保持對受感染系統的持續訪問。此事件不僅影響個人開發者,還可能讓整個組織面臨風險。雖然GitHub已刪除所有惡意軟件包,但Lazarus Group可能仍在運營其他惡意軟件。因此,開發人員和組織應采取主動的安全措施,如驗證軟件包來源、使用安全工具檢測惡意依賴項、實施多層安全性、定期掃描第三方軟件包中的漏洞,并教育團隊識別可疑的軟件包名稱,以減輕供應鏈攻擊帶來的風險。


https://hackread.com/lazarus-group-backdoor-fake-npm-packages-attack/


2. MassJacker剪貼板劫持操作:竊取加密貨幣的新威脅


3月11日,新發現的剪貼板劫持操作“MassJacker”已竊取大量數字資產,利用至少778,531個加密貨幣錢包地址從受感染計算機中轉移資金。CyberArk發現,與該操作相關的錢包在分析時包含約95,300美元,但歷史交易金額更大,其中一個Solana錢包作為中央收款中心,已累計完成超過30萬美元的交易。CyberArk懷疑該操作由特定威脅組織發起,但也可能采用惡意軟件即服務模式,由中央管理員向網絡犯罪分子出售訪問權限。MassJacker使用剪貼板劫持惡意軟件(clippers),監視Windows剪貼板中復制的加密貨幣錢包地址,并將其替換為攻擊者控制的地址,使受害者在不知情的情況下將資金轉給攻擊者。該操作通過托管盜版軟件和惡意軟件的網站pesktop[.]com分發,利用一系列復雜的腳本和加載器,最終將MassJacker注入合法的Windows進程中。CyberArk呼吁網絡安全研究界關注此類大型加密劫持行動,以獲取威脅行為者的身份信息。


https://www.bleepingcomputer.com/news/security/massjacker-malware-uses-778-000-wallets-to-steal-cryptocurrency/


3. 虛假伊隆·馬斯克代言節能設備短信騙局揭秘


3月11日,近期,美國個人頻繁收到利用伊隆·馬斯克名義進行虛假宣傳的短信,旨在銷售所謂的節能設備。Bitdefender安全研究人員揭露了這一騙局,指出詐騙者通過發送個性化短信,誘騙收件人點擊惡意網站鏈接。這些短信聲稱能大幅降低電費,甚至引用虛假的馬斯克引言,宣傳一種被謊稱為馬斯克發明的小型節能設備。這些偽造的文章使用令人信服的語言和技術措辭,以創造合法性的假象,并包含偽造的圖片以進一步欺騙潛在受害者。短信活動始于1月份,已發送數千條消息,多個域名仍處于活動狀態。Bitdefender警告稱,這些域名可能在未來活動中被重復使用,建議個人警惕此類未經請求的短信,直接向能源供應商核實任何能源折扣聲明,并向電話運營商和當地政府報告可疑信息。同時,也提醒公眾注意esavrrcom、gimelovecom和eaeloncom等域名可能存在的風險。


https://hackread.com/sms-scam-elon-musks-sell-fake-energy-devices-usa/


4. Ballista僵尸網絡瞄準未修補的TP-Link Archer路由器


3月11日,Cato CTRL團隊最新發現,未修補的TP-Link Archer AX-21路由器因存在高嚴重性安全漏洞CVE-2023-1389,已成為新僵尸網絡Ballista的攻擊目標。該漏洞自2023年4月起被利用,最初用于投放Mirai僵尸網絡惡意軟件,隨后也被用于傳播其他惡意軟件。Ballista活動于2025年1月10日被Cato CTRL檢測到,最近一次利用嘗試在2月17日。該僵尸網絡利用惡意軟件投放器和shell腳本獲取并執行目標系統上的主二進制文件,建立加密的命令和控制通道,實施RCE和DoS攻擊,并嘗試讀取敏感文件。Ballista支持多種命令,包括洪水攻擊、啟動模塊、停止模塊、運行Linux shell命令和終止服務等。惡意軟件二進制文件中的C2 IP地址和意大利語字符串表明有未知意大利威脅行為者參與。然而,該惡意軟件正在積極開發中,已出現使用TOR網絡域的新投放器變種。目前,超過6000臺設備受到Ballista感染,主要集中在巴西、波蘭、英國、保加利亞和土耳其等國,目標為美國、澳大利亞、中國和墨西哥的制造業、醫療/保健、服務業和技術組織。盡管與其他僵尸網絡有相似之處,Ballista仍有其獨特性。


https://thehackernews.com/2025/03/ballista-botnet-exploits-unpatched-tp.html


5. CISA警告:Ivanti EPM設備漏洞威脅聯邦機構網絡安全


3月11日,CISA警告美國聯邦機構注意保護其網絡,防范針對Ivanti Endpoint Manager (EPM) 設備的三個嚴重漏洞(CVE-2024-13159、CVE-2024-13160和CVE-2024-13161)的攻擊。Ivanti與全球7000多家組織合作,為40000多家公司提供系統和IT資產管理解決方案。這些漏洞由絕對路徑遍歷弱點造成,可使遠程未經身份驗證的攻擊者完全破壞易受攻擊的服務器。這些漏洞于去年10月被報告,并于今年1月13日被Ivanti修復。然而,僅一個多月后,Horizon3.ai發布了概念驗證漏洞,可用于中繼攻擊,脅迫Ivanti EPM機器憑證。CISA已將這些漏洞添加到其已知被利用漏洞目錄中,聯邦民事行政部門機構需在三周內保護其系統免受攻擊。CISA強烈敦促所有組織及時修復目錄漏洞,以減少遭受網絡攻擊的風險。自2025年初以來,有間諜行為者已利用Ivanti漏洞進行攻擊。


https://www.bleepingcomputer.com/news/security/cisa-tags-critical-ivanti-epm-flaws-as-actively-exploited-in-attacks/


6. 巴黎索邦大學遭人工智能開發的Funksec勒索軟件攻擊


3月10日,Funksec勒索軟件組織以其部署的據稱是首個采用生成式人工智能(GenAI)的勒索軟件而聞名,最近該組織聲稱攻破了歷史悠久的巴黎索邦大學,并在其暗網泄露網站上發布了據稱從該校服務器竊取的20GB文件的信息,給予學校官員大約12天時間支付未公開的贖金。索邦大學是一所擁有55,000名學生和數千名研究及行政人員的公立大學,此前也曾遭受過重大黑客攻擊。Funksec自2024年11月公開出現以來,一直在加大攻擊次數,主要針對美國、印度、西班牙和蒙古的政府和國防、技術、金融和教育領域。該組織使用人工智能開發勒索軟件,被列為過去四周內最活躍的五大勒索軟件組織之一。此外,Funksec還建立了一個包括拍賣網站、市場和討論論壇在內的完整生態系統,致力于讓這個市場成為Tor網絡中最好的。


https://cybernews.com/news/sorbonne-university-paris-claim-funksec-ai-ransomware-attack/

上一篇 下一篇