首頁 > 安全研究 > 安全通報 > 安全簡訊

XRP Ledger SDK遭供應鏈攻擊,惡意NPM版本竊取私鑰

發布時間 2025-04-25

1. XRP Ledger SDK遭供應鏈攻擊,惡意NPM版本竊取私鑰


4月24日,XRPLedgerSDK近日遭受了嚴重的供應鏈攻擊,攻擊者通過入侵官方xrpl節點包管理器(NPM)軟件包,植入惡意代碼以竊取用戶私鑰,進而控制其加密貨幣錢包。此次攻擊由Aikido英特爾威脅檢測系統發現,該系統監測到NPM上新發布的五個xrpl軟件包版本(4.2.4、4.2.3、4.2.2、4.2.1和2.14.2)存在異常,其每周下載量超過14萬次,而這些版本在GitHub上并無對應合法版本,且當時GitHub上最新合法版本號為4.2.0,差異引發了安全擔憂。進一步調查發現,惡意軟件包4.2.4版本的src/index.ts文件中,存在一個名為checkValidityOfSeed的異常函數,該函數會向一個新創建的陌生域名發送HTTP POST請求,此域名注冊信息可疑。惡意代碼在關鍵函數中被調用,如Wallet類的構造函數,導致在應用程序實例化Wallet對象時,用戶的私鑰可能被發送至攻擊者服務器。早期惡意版本(4.2.1和4.2.2)將惡意代碼引入構建的JavaScript文件中,并刪除了package.json文件中的腳本和Prettier配置;而后續版本(4.2.3和4.2.4)則將惡意代碼直接集成到TypeScript源代碼中,以規避檢測。官方xrpl已發布兩個新的安全版本(4.2.5和2.14.3),強烈建議用戶立即更新以降低風險。


https://hackread.com/backdoor-found-in-official-xrp-ledger-npm-package/


2. 黑客濫用OAuth 2.0劫持Microsoft 365賬戶


4月24日,俄羅斯威脅行為者持續利用合法OAuth 2.0身份驗證流程,對與烏克蘭及人權相關組織員工的Microsoft 365帳戶發起攻擊。網絡安全公司Volexity自3月初起便監測到此類活動,此前其與微軟在2月就曾報告過利用設備代碼身份驗證網絡釣魚竊取Microsoft 365帳戶的類似行動。Volexity追蹤發現,相關威脅行為者UTA0352和UTA0355均為俄羅斯人。攻擊始于Signal或WhatsApp的一條消息,消息可能來自被盜的烏克蘭政府賬戶。UTA0352會以PDF文件形式分享會議說明及惡意URL,引導用戶登錄使用Microsoft 365 OAuth工作流的Microsoft和第三方應用程序。目標完成身份驗證后,會被重定向到特定頁面,該頁面可接收含OAuth的登錄參數。攻擊者利用社會工程學誘騙受害者發回授權碼,此代碼有效期60天,可獲取用戶“通??捎玫乃匈Y源”的訪問令牌。此外,研究還發現,4月歸因于UTA0355的活動與UTA0352類似,但初始通信來自被入侵的烏克蘭政府電子郵件賬戶,攻擊者會利用竊取的OAuth授權碼將新設備注冊到受害者的Microsoft Entra ID,并設法讓目標批準雙因素身份驗證請求,以獲取訪問權限和維持長期非法訪問。


https://www.bleepingcomputer.com/news/security/hackers-abuse-oauth-20-workflows-to-hijack-microsoft-365-accounts/


3. 朝鮮Lazarus組織Operation SyncHole間諜活動


4月24日,臭名昭著的朝鮮威脅組織Lazarus發起了一次針對韓國多領域的間諜活動,卡巴斯基將其命名為“Operation SyncHole”。此次活動在2024年11月至2025年2月期間至少危害了韓國軟件、IT、金融、半導體制造和電信等領域的六個組織,且鑒于其利用軟件的流行程度,受影響組織或遍布更廣泛行業。攻擊伊始,目標訪問韓國合法媒體門戶網站時,Lazarus利用服務器端腳本入侵這些網站,分析訪問者并重定向有效目標至惡意域。受害者常被重定向到模仿軟件供應商(如Cross EX分銷商)的虛假網站,Cross EX可使韓國人在網絡瀏覽器中使用安全軟件進行網上銀行和與政府網站互動。盡管利用Cross EX傳播惡意軟件的具體方法尚不明確,但研究人員確認攻擊過程多以高完整性級別執行,表明攻擊者提升了權限。虛假網站上的惡意JavaScript借助Cross EX軟件傳播惡意軟件,漏洞利用程序會啟動合法的“SyncHost.exe”進程并注入shellcode,加載“ThreatNeedle”后門,該后門能在受感染主機上執行37條命令,用于部署多種惡意程序。


https://www.bleepingcomputer.com/news/security/lazarus-hackers-breach-six-companies-in-watering-hole-attacks/


4. 耶魯紐黑文醫療中心數據泄露影響550萬患者


4月24日,耶魯紐黑文健康中心(YNHHS)近期遭遇網絡攻擊,導致550余萬名患者個人信息泄露。2025年3月8日,YNHHS發現其信息技術(IT)系統出現異?;顒?,隨即采取措施控制事件并展開調查,還向執法部門報告。調查發現,未經授權的第三方于當日訪問其網絡并獲取部分數據副本。在網絡安全公司Mandiant協助下,3月11日該網絡安全事件影響IT服務的問題迅速得到控制,患者護理和醫療記錄未受影響,但恢復工作中仍存在一些互聯網和應用程序訪問問題。4月11日,YNHHS披露數據泄露事件,稱威脅行為者竊取了患者敏感信息,被盜數據因患者而異,包括姓名、出生日期、家庭住址、電話號碼、電子郵件、種族/民族、社會安全號碼(SSN)、患者類型、病歷編號等,但不包括財務信息、醫療記錄或治療細節。該機構強調事件未影響其為患者提供護理的能力。自4月14日起,YNHHS將向受影響患者郵寄信件。雖目前未報告數據被濫用情況,但已為涉及社保號碼的患者提供免費信用監控,并設立專門呼叫中心解答相關問題。


https://securityaffairs.com/176937/data-breach/yale-new-haven-health-ynhhs-data-breach-impacted-5-5-million-patients.html


5. 弗雷德里克健康中心數據泄露影響近百萬患者


4月24日,今年1月,馬里蘭州大型醫療保健提供商弗雷德里克健康醫療集團遭遇勒索軟件攻擊,引發數據泄露,致使近百萬患者信息受影響。3月底,該醫療系統向患者發出通知,透露勒索軟件攻擊于1月27日被檢測到。發現攻擊后,弗雷德里克健康中心迅速行動,通知執法部門并聘請第三方取證公司,對事件影響展開調查。其聲明指出,2025年1月27日,該中心遭遇勒索軟件事件,IT系統受影響,調查發現一名未經授權人員訪問網絡,并于當日從文件共享服務器復制了部分文件。同時,該中心表示正為信息可能被泄露且掌握足夠聯系信息的個人郵寄信件。此次數據泄露涉及范圍廣泛,攻擊者根據受影響人員不同,竊取了包括姓名、地址、出生日期、社保號碼、駕照號碼等在內的敏感個人信息,以及病歷號、健康保險信息、與患者護理相關的臨床信息等個人健康信息。盡管弗雷德里克健康中心未公布受影響具體人數,但3月28日已向美國衛生與公眾服務部報告此事。目前,衛生與公眾服務部更新報告泄露事件列表,確認此次事件影響934,326名患者。


https://www.bleepingcomputer.com/news/security/frederick-health-data-breach-impacts-nearly-1-million-patients/


6. 馬塔羅供水公司遭網絡攻擊,客戶信息或泄露


4月24日,西班牙負責飲用水和污水處理的供水公司Aigües de Mataró(艾格斯德馬塔羅)于周三宣布,其公司計算機系統和網站遭受網絡攻擊。該公司服務的馬塔羅是加泰羅尼亞的一個沿海城鎮,人口約13萬,位于巴塞羅那以北約19英里處,馬塔羅市政公司明確表示,此次攻擊未對供水本身和質量控制系統造成影響。艾格斯德馬塔羅在官方聲明中稱,此次攻擊于周一被發現,公司已第一時間向加泰羅尼亞警方以及自治區網絡安全機構報告。作為現有應急計劃的一部分,該公司迅速實施內部控制措施,以減輕攻擊帶來的影響,并積極與加泰羅尼亞當局合作,全力恢復受影響的基礎設施。不過,艾格斯德馬塔羅也向客戶發出警告,公司持有的一系列個人信息,涵蓋財務和個人信息等,可能已在攻擊中泄露。為此,公司鼓勵客戶保持警惕,防范利用這些泄露數據發起的網絡釣魚攻擊。同時,公司坦言此次攻擊會給目前無法訪問公司服務的用戶帶來不便,用戶可能會遭遇計費和其他行政程序的延遲。


https://therecord.media/cyberattack-water-supplier-barcelona-spain

上一篇 下一篇