Lazarus Group卷土重来:npm软件存储库遭恶意代码植入攻击
发布时间 2025-03-121. Lazarus Group卷土重来:npm软件存储库遭恶意代码植入攻击
3月12日,臭名昭著的Lazarus Group黑客组织再次活跃,这次他们将恶意代码植入全球开发人员依赖的npm软件存储库。npm作为JavaScript代码的大型在线库,被开发人员广泛用于获取预先构建的软件片段。Lazarus Group利用“域名抢注”技术,创建了与合法软件包名称相似的虚假软件包,并设置了虚假的GitHub页面以增加可信度。这些虚假软件包已被下载数百次,旨在渗透开发人员的计算机,窃取登录信息、加密货币信息,并安装后门以供长期访问。感染后,恶意软件会执行多项恶意活动,包括收集系统详细信息、提取浏览器中的登录凭据、窃取加密货币钱包,并安装其他恶意软件以保持对受感染系统的持续访问。此事件不仅影响个人开发者,还可能让整个组织面临风险。虽然GitHub已删除所有恶意软件包,但Lazarus Group可能仍在运营其他恶意软件。因此,开发人员和组织应采取主动的安全措施,如验证软件包来源、使用安全工具检测恶意依赖项、实施多层安全性、定期扫描第三方软件包中的漏洞,并教育团队识别可疑的软件包名称,以减轻供应链攻击带来的风险。
https://hackread.com/lazarus-group-backdoor-fake-npm-packages-attack/
2. MassJacker剪贴板劫持操作:窃取加密货币的新威胁
3月11日,新发现的剪贴板劫持操作“MassJacker”已窃取大量数字资产,利用至少778,531个加密货币钱包地址从受感染计算机中转移资金。CyberArk发现,与该操作相关的钱包在分析时包含约95,300美元,但历史交易金额更大,其中一个Solana钱包作为中央收款中心,已累计完成超过30万美元的交易。CyberArk怀疑该操作由特定威胁组织发起,但也可能采用恶意软件即服务模式,由中央管理员向网络犯罪分子出售访问权限。MassJacker使用剪贴板劫持恶意软件(clippers),监视Windows剪贴板中复制的加密货币钱包地址,并将其替换为攻击者控制的地址,使受害者在不知情的情况下将资金转给攻击者。该操作通过托管盗版软件和恶意软件的网站pesktop[.]com分发,利用一系列复杂的脚本和加载器,最终将MassJacker注入合法的Windows进程中。CyberArk呼吁网络安全研究界关注此类大型加密劫持行动,以获取威胁行为者的身份信息。
https://www.bleepingcomputer.com/news/security/massjacker-malware-uses-778-000-wallets-to-steal-cryptocurrency/
3. 虚假伊隆·马斯克代言节能设备短信骗局揭秘
3月11日,近期,美国个人频繁收到利用伊隆·马斯克名义进行虚假宣传的短信,旨在销售所谓的节能设备。Bitdefender安全研究人员揭露了这一骗局,指出诈骗者通过发送个性化短信,诱骗收件人点击恶意网站链接。这些短信声称能大幅降低电费,甚至引用虚假的马斯克引言,宣传一种被谎称为马斯克发明的小型节能设备。这些伪造的文章使用令人信服的语言和技术措辞,以创造合法性的假象,并包含伪造的图片以进一步欺骗潜在受害者。短信活动始于1月份,已发送数千条消息,多个域名仍处于活动状态。Bitdefender警告称,这些域名可能在未来活动中被重复使用,建议个人警惕此类未经请求的短信,直接向能源供应商核实任何能源折扣声明,并向电话运营商和当地政府报告可疑信息。同时,也提醒公众注意esavrrcom、gimelovecom和eaeloncom等域名可能存在的风险。
https://hackread.com/sms-scam-elon-musks-sell-fake-energy-devices-usa/
4. Ballista僵尸网络瞄准未修补的TP-Link Archer路由器
3月11日,Cato CTRL团队最新发现,未修补的TP-Link Archer AX-21路由器因存在高严重性安全漏洞CVE-2023-1389,已成为新僵尸网络Ballista的攻击目标。该漏洞自2023年4月起被利用,最初用于投放Mirai僵尸网络恶意软件,随后也被用于传播其他恶意软件。Ballista活动于2025年1月10日被Cato CTRL检测到,最近一次利用尝试在2月17日。该僵尸网络利用恶意软件投放器和shell脚本获取并执行目标系统上的主二进制文件,建立加密的命令和控制通道,实施RCE和DoS攻击,并尝试读取敏感文件。Ballista支持多种命令,包括洪水攻击、启动模块、停止模块、运行Linux shell命令和终止服务等。恶意软件二进制文件中的C2 IP地址和意大利语字符串表明有未知意大利威胁行为者参与。然而,该恶意软件正在积极开发中,已出现使用TOR网络域的新投放器变种。目前,超过6000台设备受到Ballista感染,主要集中在巴西、波兰、英国、保加利亚和土耳其等国,目标为美国、澳大利亚、中国和墨西哥的制造业、医疗/保健、服务业和技术组织。尽管与其他僵尸网络有相似之处,Ballista仍有其独特性。
https://thehackernews.com/2025/03/ballista-botnet-exploits-unpatched-tp.html
5. CISA警告:Ivanti EPM设备漏洞威胁联邦机构网络安全
3月11日,CISA警告美国联邦机构注意保护其网络,防范针对Ivanti Endpoint Manager (EPM) 设备的三个严重漏洞(CVE-2024-13159、CVE-2024-13160和CVE-2024-13161)的攻击。Ivanti与全球7000多家组织合作,为40000多家公司提供系统和IT资产管理解决方案。这些漏洞由绝对路径遍历弱点造成,可使远程未经身份验证的攻击者完全破坏易受攻击的服务器。这些漏洞于去年10月被报告,并于今年1月13日被Ivanti修复。然而,仅一个多月后,Horizon3.ai发布了概念验证漏洞,可用于中继攻击,胁迫Ivanti EPM机器凭证。CISA已将这些漏洞添加到其已知被利用漏洞目录中,联邦民事行政部门机构需在三周内保护其系统免受攻击。CISA强烈敦促所有组织及时修复目录漏洞,以减少遭受网络攻击的风险。自2025年初以来,有间谍行为者已利用Ivanti漏洞进行攻击。
https://www.bleepingcomputer.com/news/security/cisa-tags-critical-ivanti-epm-flaws-as-actively-exploited-in-attacks/
6. 巴黎索邦大学遭人工智能开发的Funksec勒索软件攻击
3月10日,Funksec勒索软件组织以其部署的据称是首个采用生成式人工智能(GenAI)的勒索软件而闻名,最近该组织声称攻破了历史悠久的巴黎索邦大学,并在其暗网泄露网站上发布了据称从该校服务器窃取的20GB文件的信息,给予学校官员大约12天时间支付未公开的赎金。索邦大学是一所拥有55,000名学生和数千名研究及行政人员的公立大学,此前也曾遭受过重大黑客攻击。Funksec自2024年11月公开出现以来,一直在加大攻击次数,主要针对美国、印度、西班牙和蒙古的政府和国防、技术、金融和教育领域。该组织使用人工智能开发勒索软件,被列为过去四周内最活跃的五大勒索软件组织之一。此外,Funksec还建立了一个包括拍卖网站、市场和讨论论坛在内的完整生态系统,致力于让这个市场成为Tor网络中最好的。
https://cybernews.com/news/sorbonne-university-paris-claim-funksec-ai-ransomware-attack/
京公网安备11010802024551号