朝鲜 Lazarus 黑客通过 npm 包感染了数百人

在 npm（Node 包管理器）平台上，研究人员发现了六个与朝鲜黑客组织 Lazarus 相关的恶意程序包。截至目前，这些恶意包已被下载 330 次，它们的目标是窃取用户账户凭据、在受感染系统中植入后门，以及获取敏感的加密货币信息。

Socket 研究团队察觉到了这一恶意活动，并将其与 Lazarus 此前已知的供应链攻击手法联系起来。这个威胁组织一直以来惯用的手段，就是把恶意软件包上传到像 npm 这样被数百万 JavaScript 开发人员使用的软件注册表中，然后静悄悄地破坏系统。

此前，在 GitHub 和 Python 包索引（PyPI）上，也发现过来自同一威胁行为者的类似恶意行为。这种攻击策略常常能让他们成功获取有价值网络的初始访问权限，进而发动大规模、破纪录的攻击，比如近期从 Bybit 交易所盗走 15 亿美元加密货币的事件。

在 npm 上发现的这 6 个 Lazarus 恶意包，都采用了拼写错误的手段来迷惑开发人员，诱导他们不小心安装：

is-buffer-validator：这个恶意包模仿热门的 is-buffer 库，目的是窃取用户凭证。

yoojae-validator：它伪装成验证库，实际上是从受感染系统中提取敏感数据。

event-handle-package：表面看似是事件处理工具，实则会部署用于远程访问的后门。

array-empty-validator：这是个欺诈性的软件包，专门收集系统和浏览器凭证。

react-event-dependency：伪装成 React 实用工具，实则执行恶意软件，破坏开发人员环境。

auth-validator：模仿身份验证工具，用来窃取登录凭证和 API 密钥。

这些恶意包内部包含着窃取敏感信息的恶意代码，比如加密货币钱包信息，以及浏览器中存储的密码、cookie 和浏览历史等数据。它们还会加载 BeaverTail 恶意软件和 InvisibleFerret 后门，朝鲜黑客之前曾在虚假招聘信息中利用这些手段，诱导用户安装恶意软件。

下载恶意软件负载的代码片段来源：Socket

Socket 报告指出：“这些恶意代码会收集系统环境的详细信息，包括主机名、操作系统和系统目录。它会逐一检查浏览器配置文件，从中找出并提取敏感文件，比如 Chrome、Brave 和 Firefox 浏览器的登录数据，以及 macOS 系统上的钥匙串存档。特别要注意的是，该恶意软件还会专门针对加密货币钱包，比如从 Solana 钱包中提取 id.json，从 Exodus 钱包中提取 exodus.wallet 文件。”

目前，这六个 Lazarus 恶意包在 npm 和 GitHub 存储库中仍然存在，威胁依旧没有解除。因此，建议软件开发人员仔细检查项目中使用的软件包，时刻留意开源软件代码中是否存在可疑迹象，比如混淆代码或者对外部服务器的不明调用。