详细内容或原文请订阅后点击阅览
与朝鲜与朝鲜的演员通过67个恶意NPM软件包传播Xorindex恶意软件
与朝鲜链接的黑客使用Xorindex恶意软件上传了67个恶意NPM软件包,在正在进行的供应链攻击中达到17k+下载。具有传染性访谈活动背后的朝鲜威胁性参与者已使用Xorindex恶意软件加载程序上传了67个恶意NPM软件包,在正在进行的供应链攻击中达到了17,000多次下载。 Xorindex的建造是为了逃避检测和部署[…]
来源:Security Affairs _恶意软件与朝鲜与朝鲜的演员通过67个恶意NPM软件包传播Xorindex恶意软件
与朝鲜链接的黑客使用Xorindex恶意软件上传了67个恶意NPM软件包,在正在进行的供应链攻击中达到17k+下载。
具有传染性访谈活动背后的朝鲜威胁性参与者已使用Xorindex恶意软件加载程序上传了67个恶意NPM软件包,在正在进行的供应链攻击中达到了17,000多次下载。
Xorindex旨在逃避检测和部署Beavertail,这是与已知的后门InvisibleFerret相关的第二阶段恶意软件。这是在较早的Hexeval Loader广告系列之后,仍在进行8,000多次下载。尽管做出了努力,但仍有27个包裹还活着。这些民族国家参与者继续通过基于NPM的持续攻击来针对开发商和个人。
InvisibleFerret“插座威胁研究团队已经发现了涉及以前未报告的恶意软件加载程序的新的朝鲜软件供应链攻击。我们称之为Xorindex。这项活动是我们2025年6月报道的活动的扩展,该活动部署了己exeval装载机。”阅读网络安全公司插座发布的报告。 “随着威胁行为者继续将恶意包装上传到NPM注册表,六边形装载机运动没有放慢速度的迹象。”
报告 报告朝鲜威胁行为者的Xorindex Loader活动使用了高级技术,例如弦混淆,多端C2旋转和主机分析,种植了28个恶意NPM软件包。这些软件包允许攻击者收集系统数据并交付Beavertail恶意软件,该软件重点是加密钱包和浏览器扩展程序,后来下载了Invisibleferret后门。
eth-auditlog
p.zi
p2.zip
这标志着早期更简单的加载程序的明确演变。尽管做出了努力,但攻击者仍然使用诸如Vercel之类的合法服务来坚持,从而使供应链防御对开发人员和组织至关重要。
在Twitter上关注我:@securityaffairs和Facebook和Mastodon
@securityaffairs