Phylum 公司指出，Node.js 仓库中存在虚假npm包，与朝鲜国家黑客组织有关。

这些包的名称是：execution-time-async、data-time-utils、login-time-utils、mongodb-connection-utils 和 mongodb-execution-utils。其中一个包， execution-time-async 伪装成合法的 execution-time，后者的周下载量超过2.7万次，是用于衡量代码执行时间的一个 Node.js 工具。

Phylum 公司指出，它“实际上安装了多个恶意脚本，包括一个密币和凭据盗取器”，它被称为针对开发人员的软件供应链攻击。自2024年2月4日起到被下架之前，该包被下载了302次。

耐人寻味的是，威胁行动者尽力将混淆的恶意代码隐藏在测试文件中。而该测试文件旨在从一个远程服务器提取下一阶段的 payload、从 web 浏览器如Brave、谷歌 Chrome 和 Opera 等中窃取凭据，并检索一个用于下载其它脚本的 Python 脚本：

Phylum 公司提到，在源代码 (“/Users/ninoacuna/”) 中找到了注释，使其能够追踪一个现已删除的同名 (“Nino Acuna” 或 binaryExDev) 的 GitHub 资料，其中包含名为 “File-Uploader” 的仓库。该仓库中包含 Python 脚本，引用用于提取上述 Python 脚本的同样的 IP 地址（162.218.114[.]83 – 后续改为 45.61.169[.]99）。攻击疑似正在进行中，至少四个具有类似特性的包混进 npm 包仓库，总计吸引了325次下载：

与朝鲜黑客组织的关联浮出水面

Phylum 公司还分析了 binaryExDev 所关注的两个 GitHub 账户，发现了另外一个仓库 mave-finance-org/auth-playground，后者被其它账户的fork次数不超过12次。

虽然fork仓库本身并不少见，但其中一些被 fork 仓库的不同之处在于，它们被更名为 “auth-demo” 或 “auth-challenge”，这说明原始仓库可能已经作为工作招聘代码测试的一部分被分享。

该仓库随后迁移到 banus-finance-org/auth-sandbox、Dexbanus-org/live-coding-sandbox和mave-finance/next-assessment，说明在积极主动地绕过 GitHub 的下架尝试。所有账户现已被删除。

另外，next-assessment 中包含依赖 “json-mock-config-server”，它并未列入npm注册表，而是直接从域 npm.mave[.]finance中展现。

值得注意的是，Banus 号称是一家去中心化的永久交换交易所，甚至还在2月21日发出了针对高级前端开发人员的工作机会。目前尚不清楚该工作机会是否合法或者是否为社工计划。

研究人员认为该攻击与朝鲜黑客组织之间存在关联的依据在于，被混淆的内嵌在npm报中的 JavaScript域另外一款通过类似机制宣传的基于 JavaScript 的恶意软件 BeaverTail 之间存在重叠。Palo Alto Networks Unit 42 在2023年11月将该攻击称为“Contagious Interview”。该团队指出，Contagious Interview与Operation Dream Job（与Lazarus Group之间存在关联）略有不同，前者主要关注通过自由职业招聘门户中的虚假身份攻击开发人员，诱骗他们安装恶意包。

其中的一名受骗开发人员已证实称该仓库伪装成实时编程测试被分享，不过受害者表示自己并未在系统上安装。Phylum 公司提到，“个体开发人员和软件开发组织机构都应该时刻警醒开源代码中的这类攻击活动，这一点比以往任何时候都要重要。”

奇安信代码卫士 (codesafe)

国内首个专注于软件开发安全的产品线。

    觉得不错，就点个 “在看” 或 "赞” 吧~