朝鲜黑客通过npm恶意包实施远程控制威胁

朝鲜黑客借npm漏洞发起新型网络攻击

GoPlus中文社区于3月3日在X平台发布安全警示，指出一批恶意软件包被上传至npm注册表，涉及26个名称相似的包，均包含名为“install.js”的安装脚本。该脚本在依赖项安装时自动触发，执行位于“vendor/scrypt-js/version.js”路径下的恶意代码。

恶意行为涵盖多维度数据窃取

恶意代码通过固定恶意URL下载并运行远程访问木马（RAT），具备键盘记录、剪贴板内容截取、浏览器登录凭证收集、TruffleHog工具扫描Git仓库敏感信息，以及SSH密钥窃取等能力，严重威胁用户隐私与资产安全。

已确认受影响的恶意软件包列表

以下为受此次攻击影响的26个恶意软件包，请开发者立即排查并移除： [email protected] [email protected] [email protected] [email protected] [email protected] [email protected] [email protected] [email protected] [email protected] [email protected] [email protected] [email protected] [email protected] [email protected] [email protected] [email protected] [email protected] [email protected] [email protected] [email protected] [email protected] [email protected] [email protected] [email protected] [email protected] [email protected]