朝鲜“传染性采访“行动持续升级,npm平台现67个恶意包
发布时间 2025-07-161. 朝鲜"传染性采访"行动持续升级,npm平台现67个恶意包
7月15日,近期,朝鲜政府支持的"传染性采访"网络攻击行动在开源生态领域持续升级。据软件包安全平台Socket研究人员披露,威胁行为者向Node.js默认包管理器npm提交了67个伪装成合法项目的恶意软件包,总下载量突破17,000次。此次攻击被证实为该组织今年4月以来发起的第二波大规模行动,上月其曾通过35个npm包植入信息窃取程序,凸显出朝鲜黑客对开发者生态的持续性渗透策略。攻击者延续了"虚假工作机会"的经典社工手法,通过模仿知名项目名称(如vite-meta-plugin、postcss-preloader等)诱骗开发者安装恶意包。当受害者执行安装时,包内预设的"postinstall"脚本会触发新型XORIndex加载器。该工具通过收集主机信息并回传至托管于Vercel云平台的命令控制服务器(C2),进而接收包含BeaverTail和InvisibleFerret后门的JavaScript载荷。这两个恶意软件家族可实现远程代码执行、数据泄露及后续载荷投放,形成完整的攻击链。此次使用的XORIndex加载器与历史攻击中的HexEval加载器存在技术关联,显示攻击者正通过工具混用和微调实现检测规避。
https://www.bleepingcomputer.com/news/security/north-korean-xorindex-malware-hidden-in-67-malicious-npm-packages/
2. 新型HazyBeacon后门利用云服务窃取东南亚政府敏感数据
7月15日,东南亚政府机构正成为一场由国家支持型威胁行为者发起的新型网络间谍活动的目标。该攻击集群被帕洛阿尔托网络公司Unit 42团队命名为CL-STA-1020,其核心工具为未被记录的Windows后门程序HazyBeacon,旨在通过隐蔽手段窃取涉及贸易争端、外交政策等战略领域的敏感信息。据安全研究员分析,攻击者通过DLL侧载技术实现初始入侵:将恶意动态链接库文件mscorsvc.dll与合法Windows进程mscorsvw.exe捆绑植入受害系统。该恶意DLL在启动后,会与攻击者控制的AWS Lambda URL建立加密通信渠道,利用亚马逊云服务的无服务器函数功能隐藏命令与控制(C2)流量。这种“依托可信服务(LOTS)”的策略,使威胁行为者得以在公开云平台上构建难以追溯的恶意通信链路,同时通过系统服务实现持久化驻留,确保重启后仍可运行。HazyBeacon的核心功能是定向文件收集。其有效载荷会扫描并窃取特定时间范围内创建的文档(如.doc、.xls、.pdf等),尤其关注与美国近期关税措施相关的文件。为规避检测,攻击者进一步利用谷歌云端硬盘和Dropbox等合法云存储服务作为数据外泄通道,将窃取信息混入正常流量传输。
https://thehackernews.com/2025/07/state-backed-hazybeacon-malware-uses.html
3. 国际执法行动摧毁罗马尼亚Diskstation勒索团伙
7月15日,由欧洲刑警组织协调的"Elicius行动"近日成功瓦解罗马尼亚"Diskstation"勒索软件团伙,该组织自2021年起以Synology网络附加存储(NAS)设备为目标,对意大利伦巴第地区多家企业实施加密攻击,导致其业务系统瘫痪。法国与罗马尼亚警方联合参与的此次行动,标志着跨国网络安全执法合作取得重大突破。该团伙专门针对暴露在互联网上的NAS设备,这类设备常被企业用于文件存储、备份及共享。其勒索软件通过加密受害者数据,要求支付1万至数十万美元不等的加密货币赎金,受害企业包括图形设计公司、影视制作机构、活动策划方及国际非政府组织。米兰检察官办公室领导的调查团队通过区块链追踪赎金流向,并结合受感染系统的取证分析,逮捕一名44岁罗马尼亚男子,该嫌疑人被指控为团伙主谋,目前因涉嫌非法侵入计算机系统及敲诈勒索处于审前羁押状态。"Diskstation"勒索软件曾以"DiskStation Security""Quick Security"等不同名称变体活跃,凸显犯罪分子通过技术伪装规避检测的惯用手法。
https://www.bleepingcomputer.com/news/security/police-disrupt-diskstation-ransomware-gang-attacking-nas-devices/
4. DragonForce勒索团伙声称攻击美国百年零售商Belk
7月15日,美国百年零售巨头Belk近日陷入网络安全危机。勒索软件组织DragonForce公开宣称对2025年5月7日至11日期间针对该公司的攻击负责,并声称窃取了156GB内部数据,包含员工及客户的姓名、社会安全号码等敏感个人信息。此次事件导致Belk官网一度瘫痪,其应对措施与数据泄露细节引发广泛关注。Belk成立于1888年,总部位于北卡罗来纳州夏洛特,在美国16个州运营约300家门店,主营服装、家居用品及珠宝等商品。5月8日,Belk发现系统异常后,立即联合第三方网络安全专家展开调查,确认未经授权的第三方在此前四天内访问了部分公司系统并获取内部文件。尽管Belk迅速采取限制网络访问、重置密码、重建受影响服务器及部署增强监控工具等措施,但部分包含个人信息的文件已被外泄。目前,该公司正配合执法部门调查,并为受影响用户提供12个月的免费信用监控与身份恢复服务。
https://securityaffairs.com/179958/data-breach/belk-hit-by-may-cyberattack-dragonforce-stole-150gb-of-data.html
5. Konfety Android恶意软件使用格式错误的APK逃避检测
7月15日,移动安全平台Zimperium近日发现Konfety Android恶意软件推出新型变种,通过畸形ZIP结构、加密动态代码加载及APK压缩混淆等多重技术,成功规避传统安全检测。该恶意软件伪装成Google Play上的合法应用,诱导用户通过第三方应用商店下载,实则不具备任何承诺功能,转而实施广告欺诈、信息窃取及潜在恶意行为。Konfety的核心恶意功能包括:通过CaramelAds SDK加载隐藏广告、窃取用户已安装应用列表、网络配置及设备系统信息;同时利用地理围栏技术根据受害者所处地区调整行为模式,例如定向推送虚假浏览器通知或诱导安装恶意应用。值得注意的是,其APK文件内嵌加密的辅助DEX模块,该模块在运行时解密并动态加载,包含AndroidManifest中声明的隐藏服务,为后续植入更危险功能预留接口。为逃避分析,Konfety采用三重混淆策略:其一,通过伪造APK的通用位标志,误导工具认为文件已加密,触发错误密码提示以延迟逆向工程;其二,在APK文件中声明不支持的BZIP压缩格式,导致JADX、APKTool等主流分析工具解析失败;其三,隐藏应用图标与名称,降低用户察觉风险。
https://www.bleepingcomputer.com/news/security/android-malware-konfety-uses-malformed-apks-to-evade-detection/
6. Shopify合规插件Consentik暴露数百商家敏感数据
7月15日,一款旨在帮助电商企业遵守隐私法规的Shopify插件Consentik,近期被曝存在严重安全漏洞,导致数百家在线商店的敏感数据在互联网上公开暴露长达四个月。这款由越南开发公司Omegatheme推出的工具,虽获得Shopify官方"专为Shopify打造"认证并拥有4.9星高评级,却因配置不当的Kafka服务器,将实时网站分析数据、Shopify管理员凭证及Facebook广告令牌等关键信息暴露给任何知晓来源的访问者。Consentik插件的核心功能是向客户网站添加Cookie同意横幅,协助商家满足GDPR、LGPD和CCPA等隐私合规要求。然而,研究团队发现,其后台服务器未设置访问限制,导致包含Shopify个人访问令牌和Facebook身份验证令牌的数据持续泄露。这些凭证若被恶意利用,攻击者可能以管理员权限接管电商店铺,实施修改价格、注入恶意代码、窃取客户数据,甚至用钓鱼页面替换正版店面等操作。此外,Facebook代币的泄露还可能使商家广告账户被劫持,造成预算损耗和品牌信任危机。此次事件影响范围广泛,涉及时尚、化妆品、健身和消费电子等多个领域的在线商店。
https://cybernews.com/security/shopify-plugin-consentik-data-leak/
京公网安备11010802024551号