首頁 > 安全研究 > 安全通報 > 安全簡訊

npm惡意軟件瞄準Atomic和Exodus錢包

發布時間 2025-04-11

1. npm惡意軟件瞄準Atomic和Exodus錢包


4月10日,網絡安全公司 ReversingLabs(RL)近期發現了一種針對加密貨幣用戶的新策略,網絡犯罪分子正利用 npm(節點包管理器)網絡,向本地安裝的加密貨幣錢包軟件(尤其是 Atomic Wallet 和 Exodus)注入惡意代碼。此次攻擊通過惡意修補合法軟件文件實現,攻擊者可借此悄悄交換收件人錢包地址,從而攔截加密貨幣轉移。RL 發現了一個名為“pdf-to-office”的惡意 npm 包,該包偽裝成將 PDF 文件轉換為 Microsoft Office 文檔的實用程序,但執行時會部署惡意負載,修改 Atomic Wallet 和 Exodus 安裝目錄中的關鍵文件。惡意軟件用木馬版本覆蓋合法文件,秘密更改加密貨幣交易的目標地址,且難以被察覺,因為錢包核心功能看似未變。此外,軟件包中還發現了一個經過混淆的 JavaScript 文件,暴露了其惡意意圖。此次攻擊具有持久性,即使惡意“pdf-to-office”軟件包被刪除,受感染的加密貨幣錢包軟件仍會保持感染狀態,木馬文件仍在運行,悄無聲息地將資金重定向到攻擊者的 Web3 錢包。消除威脅的唯一有效方法是徹底刪除并重新安裝受影響的錢包軟件。


https://hackread.com/npm-malware-atomic-exodus-wallets-hijack-crypto/


2. 俄勒岡州環境機構在遭受網絡攻擊后關閉網絡


4月11日,近日,俄勒岡州環境質量局(DEQ)遭受網絡攻擊,導致其網絡被迫關閉。該機構負責監管俄勒岡州的空氣、土地和水質量,此次攻擊對其運營造成了嚴重影響。DEQ官員表示,車輛檢查站將關閉至周五,以應對此次網絡攻擊。目前,該機構正在全力隔離服務器和網絡,直至攻擊被完全控制并可能被根除。DEQ的IT、企業信息系統和微軟網絡安全團隊正在緊密合作,共同應對此次網絡安全問題。與此同時,其他州也宣布了近期影響關鍵政府服務的網絡事件。亞利桑那州聯邦公共辯護人辦公室因勒索軟件攻擊已關閉,多起案件審理時間已改至五月。愛達荷州古丁縣網絡也遭受了勒索軟件攻擊,縣領導已聯系聯邦執法部門,并聘請網絡安全公司協助控制事件。此外,內布拉斯加州北普拉特自然資源區也證實遭遇了網絡攻擊和數據泄露。值得注意的是,截至目前,尚無任何勒索軟件團伙或黑客組織聲稱對這些事件負責。


https://therecord.media/oregon-department-environmental-quality-cyberattack


3. Gamaredon組織升級攻擊手段,西方網絡面臨新威脅


4月10日,俄羅斯政府支持的黑客組織Gamaredon(又名“Shuckworm”)自2025年2月至3月,持續針對西方國家在烏克蘭的軍事任務發動攻擊,可能通過可移動硬盤進行。研究人員指出,此次攻擊中,黑客部署了更新版本的GammaSteel信息竊取惡意軟件以竊取數據。攻擊始于包含惡意.LNK文件的可移動驅動器,這是Gamaredon過去常用的攻擊手段。此次,研究人員觀察到威脅行為者的策略有所變化,包括從VBS腳本轉向基于PowerShell的工具、對有效載荷進行更多混淆以及更多地使用合法服務進行逃避。在感染過程中,一個高度混淆的腳本會創建并運行兩個文件,分別處理命令和控制通信及傳播機制,同時隱藏某些文件夾和系統文件。Gamaredon還使用偵察PowerShell腳本捕獲和泄露設備信息,并最終部署基于PowerShell的GammaSteel版本,竊取桌面、文檔和下載等位置的文檔。該惡意軟件使用“certutil.exe”對文件進行哈希處理,并通過PowerShell Web請求或Tor上的cURL傳輸被盜數據,同時在目標計算機上建立持久性。


https://www.bleepingcomputer.com/news/security/russian-hackers-attack-western-military-mission-using-malicious-drive/


4. Medusa攻擊脈搏緊急護理中心,泄露數據并索要贖金


4月9日,近日,黑客組織美杜莎(Medusa)對脈搏緊急護理中心(Pulse Urgent Care Center)發動攻擊,該中心提供緊急護理、臨床醫學、女性健康、工傷賠償和雇主服務等一系列醫療服務,總部位于加州雷丁,在雷德巴夫也設有分部。據報道,Medusa發布了部分證據,其中包含一個文件樹,內有超過127,000行文本格式的數據。泄露的數據涵蓋患者病歷(包括診斷、治療和檢查結果等)、管理數據(與醫療保健提供者內部管理有關的業務信息)、保險數據(有關患者健康保險政策的信息)、提供者列表(有關醫生和醫療保健專業人員的數據)、提供者記錄更新表、雇主聯系和賬單信息表,以及Rapid Radiology, Inc.網站的登錄憑證。Medusa針對此次事件列出了清單,要求支付120,000美元的BTC以下載或刪除所有數據。截至目前,Pulse Urgent Care Center的網站上未顯示任何異常跡象,且該中心尚未對此次攻擊做出確認或否認。


https://databreaches.net/2025/04/09/__trashed-15/


5. OttoKit WordPress插件高危漏洞遭黑客迅速利用


4月10日,近日,WordPress的OttoKit(前稱SureTriggers)插件曝出高嚴重性身份驗證繞過漏洞(CVE-2025-3102),該漏洞影響1.0.78及以上版本。由于authenticating_user()函數中缺少空值檢查,當插件未配置API密鑰時,攻擊者可通過發送空的st_authorization標頭繞過身份驗證,未經授權訪問受保護的API端點,進而創建新的管理員帳戶,存在完全站點接管的高風險。安全研究員“mikemyers”于3月中旬發現此漏洞并獲得賞金,4月3日,插件供應商發布1.0.79版修復程序。然而,漏洞披露后僅數小時,黑客便開始利用此漏洞,嘗試創建新的管理員帳戶。Patchstack研究人員警告稱,這種迅速的利用凸顯了立即應用補丁或緩解措施的迫切需要。鑒于OttoKit插件已在10萬個網站上活躍,且該漏洞影響廣泛,強烈建議用戶盡快升級到1.0.79版本,并檢查日志中是否存在意外的管理員帳戶或其他用戶角色、插件/主題的安裝、數據庫訪問事件以及安全設置的修改,以確保網站安全。


https://www.bleepingcomputer.com/news/security/hackers-exploit-wordpress-plugin-auth-bypass-hours-after-disclosure/


6. Gladinet CentreStack零日漏洞CVE-2025-30406遭在野利用


4月9日,自3月份起,黑客利用Gladinet CentreStack安全文件共享軟件中的零日漏洞(CVE-2025-30406)入侵存儲服務器。該漏洞是一個反序列化漏洞,影響16.1.10296.56315及以上版本。問題源于CentreStack門戶配置中使用了硬編碼的machineKey,攻擊者若知曉此密鑰,可編寫并執行惡意序列化負載,繞過完整性檢查,注入任意序列化對象,最終在服務器上執行代碼。Gladinet已于2025年4月3日發布安全修復程序,版本為16.4.10315.56368、16.3.4763.56357(Windows)和15.12.434(macOS)。供應商建議用戶盡快升級到最新版本,對于無法立即更新的客戶,建議輪換machineKey值作為臨時緩解措施,并確保多服務器部署中跨節點的一致性,在更改后重新啟動IIS以應用緩解措施。CISA已將該漏洞添加到其已知利用漏洞目錄中,并要求受影響的州和聯邦組織在2025年4月29日之前應用安全更新和緩解措施,否則停止使用該產品。鑒于該產品的性質,它很可能被利用來進行數據盜竊攻擊。


https://www.bleepingcomputer.com/news/security/centrestack-rce-exploited-as-zero-day-to-breach-file-sharing-servers/

上一篇 下一篇