朝鲜黑客借npm漏洞发起新型网络攻击

GoPlus中文社区于3月3日在X平台发布安全警示,指出一批恶意软件包被上传至npm注册表,涉及26个名称相似的包,均包含名为“install.js”的安装脚本。该脚本在依赖项安装时自动触发,执行位于“vendor/scrypt-js/version.js”路径下的恶意代码。

恶意行为涵盖多维度数据窃取

恶意代码通过固定恶意URL下载并运行远程访问木马(RAT),具备键盘记录、剪贴板内容截取、浏览器登录凭证收集、TruffleHog工具扫描Git仓库敏感信息,以及SSH密钥窃取等能力,严重威胁用户隐私与资产安全。

已确认受影响的恶意软件包列表

以下为受此次攻击影响的26个恶意软件包,请开发者立即排查并移除: argonist@0.41.0 bcryptance@6.5.2 bee-quarl@2.1.2 bubble-core@6.26.2 corstoken@2.14.7 daytonjs@1.11.20 ether-lint@5.9.4 expressjs-lint@5.3.2 fastify-lint@5.8.0 formmiderable@3.5.7 hapi-lint@19.1.2 iosysredis@5.13.2 jslint-config@10.22.2 jsnwebapptoken@8.40.2 kafkajs-lint@2.21.3 loadash-lint@4.17.24 mqttoken@5.40.2 prism-lint@7.4.2 promanage@6.0.21 sequelization@6.40.2 typoriem@0.4.17 undicy-lint@7.23.1 uuindex@13.1.0 vitetest-lint@4.1.21 windowston@3.19.2 zoddle@4.4.2