XRP Ledger SDK遭供应链攻击,恶意NPM版本窃取私钥
发布时间 2025-04-251. XRP Ledger SDK遭供应链攻击,恶意NPM版本窃取私钥
4月24日,XRPLedgerSDK近日遭受了严重的供应链攻击,攻击者通过入侵官方xrpl节点包管理器(NPM)软件包,植入恶意代码以窃取用户私钥,进而控制其加密货币钱包。此次攻击由Aikido英特尔威胁检测系统发现,该系统监测到NPM上新发布的五个xrpl软件包版本(4.2.4、4.2.3、4.2.2、4.2.1和2.14.2)存在异常,其每周下载量超过14万次,而这些版本在GitHub上并无对应合法版本,且当时GitHub上最新合法版本号为4.2.0,差异引发了安全担忧。进一步调查发现,恶意软件包4.2.4版本的src/index.ts文件中,存在一个名为checkValidityOfSeed的异常函数,该函数会向一个新创建的陌生域名发送HTTP POST请求,此域名注册信息可疑。恶意代码在关键函数中被调用,如Wallet类的构造函数,导致在应用程序实例化Wallet对象时,用户的私钥可能被发送至攻击者服务器。早期恶意版本(4.2.1和4.2.2)将恶意代码引入构建的JavaScript文件中,并删除了package.json文件中的脚本和Prettier配置;而后续版本(4.2.3和4.2.4)则将恶意代码直接集成到TypeScript源代码中,以规避检测。官方xrpl已发布两个新的安全版本(4.2.5和2.14.3),强烈建议用户立即更新以降低风险。
https://hackread.com/backdoor-found-in-official-xrp-ledger-npm-package/
2. 黑客滥用OAuth 2.0劫持Microsoft 365账户
4月24日,俄罗斯威胁行为者持续利用合法OAuth 2.0身份验证流程,对与乌克兰及人权相关组织员工的Microsoft 365帐户发起攻击。网络安全公司Volexity自3月初起便监测到此类活动,此前其与微软在2月就曾报告过利用设备代码身份验证网络钓鱼窃取Microsoft 365帐户的类似行动。Volexity追踪发现,相关威胁行为者UTA0352和UTA0355均为俄罗斯人。攻击始于Signal或WhatsApp的一条消息,消息可能来自被盗的乌克兰政府账户。UTA0352会以PDF文件形式分享会议说明及恶意URL,引导用户登录使用Microsoft 365 OAuth工作流的Microsoft和第三方应用程序。目标完成身份验证后,会被重定向到特定页面,该页面可接收含OAuth的登录参数。攻击者利用社会工程学诱骗受害者发回授权码,此代码有效期60天,可获取用户“通常可用的所有资源”的访问令牌。此外,研究还发现,4月归因于UTA0355的活动与UTA0352类似,但初始通信来自被入侵的乌克兰政府电子邮件账户,攻击者会利用窃取的OAuth授权码将新设备注册到受害者的Microsoft Entra ID,并设法让目标批准双因素身份验证请求,以获取访问权限和维持长期非法访问。
https://www.bleepingcomputer.com/news/security/hackers-abuse-oauth-20-workflows-to-hijack-microsoft-365-accounts/
3. 朝鲜Lazarus组织Operation SyncHole间谍活动
4月24日,臭名昭著的朝鲜威胁组织Lazarus发起了一次针对韩国多领域的间谍活动,卡巴斯基将其命名为“Operation SyncHole”。此次活动在2024年11月至2025年2月期间至少危害了韩国软件、IT、金融、半导体制造和电信等领域的六个组织,且鉴于其利用软件的流行程度,受影响组织或遍布更广泛行业。攻击伊始,目标访问韩国合法媒体门户网站时,Lazarus利用服务器端脚本入侵这些网站,分析访问者并重定向有效目标至恶意域。受害者常被重定向到模仿软件供应商(如Cross EX分销商)的虚假网站,Cross EX可使韩国人在网络浏览器中使用安全软件进行网上银行和与政府网站互动。尽管利用Cross EX传播恶意软件的具体方法尚不明确,但研究人员确认攻击过程多以高完整性级别执行,表明攻击者提升了权限。虚假网站上的恶意JavaScript借助Cross EX软件传播恶意软件,漏洞利用程序会启动合法的“SyncHost.exe”进程并注入shellcode,加载“ThreatNeedle”后门,该后门能在受感染主机上执行37条命令,用于部署多种恶意程序。
https://www.bleepingcomputer.com/news/security/lazarus-hackers-breach-six-companies-in-watering-hole-attacks/
4. 耶鲁纽黑文医疗中心数据泄露影响550万患者
4月24日,耶鲁纽黑文健康中心(YNHHS)近期遭遇网络攻击,导致550余万名患者个人信息泄露。2025年3月8日,YNHHS发现其信息技术(IT)系统出现异常活动,随即采取措施控制事件并展开调查,还向执法部门报告。调查发现,未经授权的第三方于当日访问其网络并获取部分数据副本。在网络安全公司Mandiant协助下,3月11日该网络安全事件影响IT服务的问题迅速得到控制,患者护理和医疗记录未受影响,但恢复工作中仍存在一些互联网和应用程序访问问题。4月11日,YNHHS披露数据泄露事件,称威胁行为者窃取了患者敏感信息,被盗数据因患者而异,包括姓名、出生日期、家庭住址、电话号码、电子邮件、种族/民族、社会安全号码(SSN)、患者类型、病历编号等,但不包括财务信息、医疗记录或治疗细节。该机构强调事件未影响其为患者提供护理的能力。自4月14日起,YNHHS将向受影响患者邮寄信件。虽目前未报告数据被滥用情况,但已为涉及社保号码的患者提供免费信用监控,并设立专门呼叫中心解答相关问题。
https://securityaffairs.com/176937/data-breach/yale-new-haven-health-ynhhs-data-breach-impacted-5-5-million-patients.html
5. 弗雷德里克健康中心数据泄露影响近百万患者
4月24日,今年1月,马里兰州大型医疗保健提供商弗雷德里克健康医疗集团遭遇勒索软件攻击,引发数据泄露,致使近百万患者信息受影响。3月底,该医疗系统向患者发出通知,透露勒索软件攻击于1月27日被检测到。发现攻击后,弗雷德里克健康中心迅速行动,通知执法部门并聘请第三方取证公司,对事件影响展开调查。其声明指出,2025年1月27日,该中心遭遇勒索软件事件,IT系统受影响,调查发现一名未经授权人员访问网络,并于当日从文件共享服务器复制了部分文件。同时,该中心表示正为信息可能被泄露且掌握足够联系信息的个人邮寄信件。此次数据泄露涉及范围广泛,攻击者根据受影响人员不同,窃取了包括姓名、地址、出生日期、社保号码、驾照号码等在内的敏感个人信息,以及病历号、健康保险信息、与患者护理相关的临床信息等个人健康信息。尽管弗雷德里克健康中心未公布受影响具体人数,但3月28日已向美国卫生与公众服务部报告此事。目前,卫生与公众服务部更新报告泄露事件列表,确认此次事件影响934,326名患者。
https://www.bleepingcomputer.com/news/security/frederick-health-data-breach-impacts-nearly-1-million-patients/
6. 马塔罗供水公司遭网络攻击,客户信息或泄露
4月24日,西班牙负责饮用水和污水处理的供水公司Aigües de Mataró(艾格斯德马塔罗)于周三宣布,其公司计算机系统和网站遭受网络攻击。该公司服务的马塔罗是加泰罗尼亚的一个沿海城镇,人口约13万,位于巴塞罗那以北约19英里处,马塔罗市政公司明确表示,此次攻击未对供水本身和质量控制系统造成影响。艾格斯德马塔罗在官方声明中称,此次攻击于周一被发现,公司已第一时间向加泰罗尼亚警方以及自治区网络安全机构报告。作为现有应急计划的一部分,该公司迅速实施内部控制措施,以减轻攻击带来的影响,并积极与加泰罗尼亚当局合作,全力恢复受影响的基础设施。不过,艾格斯德马塔罗也向客户发出警告,公司持有的一系列个人信息,涵盖财务和个人信息等,可能已在攻击中泄露。为此,公司鼓励客户保持警惕,防范利用这些泄露数据发起的网络钓鱼攻击。同时,公司坦言此次攻击会给目前无法访问公司服务的用户带来不便,用户可能会遭遇计费和其他行政程序的延迟。
https://therecord.media/cyberattack-water-supplier-barcelona-spain
京公网安备11010802024551号