朝鲜黑客伪装招聘人员上传300个恶意代码包，瞄准区块链与Web3开发者

据一家美国网络安全公司透露，朝鲜黑客已将全球广泛使用的软件库之一转变为传播恶意软件的工具。上周，供应链安全公司Socket的研究人员发布报告称，他们发现了超过300个恶意代码包被上传至npm注册表，这是一个数百万开发人员用来共享和安装JavaScript软件的中央存储库。

这些恶意代码包表面上看似无害，实则是为各种应用领域（从网站到加密应用程序）设计的小型可重复使用代码片段。然而，一旦下载，它们便会在用户系统中安装能够窃取密码、浏览器数据以及加密货币钱包密钥的恶意软件。Socket指出，这项攻击行动被称为“传染性采访”，背后是由朝鲜政府支持的黑客组织发起的。黑客伪装成技术招聘人员，专门针对区块链、Web3及相关行业的开发人员。

为什么重要：npm作为现代网络基础设施的重要组成部分，其安全性至关重要。一旦该平台被攻陷，攻击者就能通过它将恶意代码植入无数下游应用程序中。多年来，安全专家一直警告，这种“软件供应链”攻击是网络空间中最危险的威胁之一，因为它们会借助合法更新和依赖项悄无声息地传播。

通往朝鲜的路径

Socket的研究人员通过分析一组相似的软件包名称（例如流行库的拼写错误版本，如express、dotenv和hardhat）以及与之前发现的朝鲜恶意软件家族（如Beaver Tail和Stealth Fennec）相关的代码模式，追踪到了这些恶意软件的来源。攻击者使用了加密的“加载器”脚本，在内存中直接解密并执行隐藏的有效载荷，几乎不在磁盘上留下任何痕迹。

据该公司粗略统计，这些恶意软件包在许多被删除前已被下载了约5万次，尽管部分仍然在线。此外，黑客还利用了虚假LinkedIn招聘人员账户，这一策略与朝鲜此前记录的网络间谍活动一致，并曾被美国网络安全和基础设施安全局（CISA）及Decrypt等机构报道过。研究人员认为，最终目标是获取访问凭证和数字钱包权限的设备。

虽然Socket的调查结果与其他安全组织和政府机构的报告相符，这些报告将朝鲜与数十亿美元的加密货币盗窃案联系起来，但所有细节（例如具体被盗包裹的数量）仍需独立核实。不过，所描述的技术证据和模式与此前归因于平壤的事件高度一致。

Npm的所有者GitHub表示，他们会在发现问题后立即删除恶意软件，并改进账户验证要求。然而，研究人员指出，这种应对方式如同打地鼠游戏：删除一批恶意软件后，很快又会有数百个新的恶意软件取而代之。

对于开发者和加密货币初创公司而言，这一事件凸显了软件供应链的脆弱性。安全研究人员敦促各团队在将依赖项合并到项目中之前，应将每个“npm install”命令视为潜在的代码执行风险，并对依赖项进行扫描，同时使用自动审查工具来捕获被篡改的软件包。开源生态系统的优势——开放性——在对手决定将其武器化时，仍然是其最大的弱点。