江蘇
關鍵詞
朝鮮黑客
Microsoft 將最近導致超過 140 個 npm 軟件包受損的 Mastra AI 供應鏈攻擊歸因于朝鮮黑客組織 Sapphire Sleet,也稱為 BlueNoroff。
此歸因是在 Microsoft 本周早些時候首次披露攻擊者劫持了一個 npm 維護者賬戶并利用它發布惡意軟件包更新之后得出的。
“Microsoft 高度確信此活動可歸因于 Sapphire Sleet,這是一個主要瞄準金融部門的朝鮮國家級行為者,”該公司在 6 月 19 日的更新中表示。
根據 Microsoft 的說法,攻擊始于威脅行為者入侵了 npm 維護者賬戶 "ehindero",該賬戶擁有在 Mastra 軟件包環境中發布的權限。
利用該賬戶,攻擊者在@mastra范圍內發布了超過 140 個軟件包的惡意更新,注入了一個名為 "easy-day-js" 的惡意依賴項。該依賴項是合法且廣泛使用的 dayjs JavaScript 庫的 typosquat(仿冒包名)。
安裝受損軟件包后,惡意依賴項執行了一個 post-install hook,在開發人員的設備上部署了一個惡意軟件投放器,最終旨在竊取敏感憑證、API 密鑰、身份驗證令牌和加密貨幣錢包。
“安裝后,easy-day-js 觸發了一個 postinstall hook,執行了一個混淆的投放器腳本,禁用了傳輸層安全(TLS)證書驗證,聯系了攻擊者控制的命令與控制(C2)基礎設施,下載了第二階段載荷,并將該載荷作為分離的隱藏進程執行,”Microsoft 解釋道。
跨平臺惡意軟件瞄準加密貨幣錢包
下載的第二階段載荷是一個跨平臺信息竊取器,旨在針對 Windows、Linux 和 macOS 系統。
該植入物收集有關主機、瀏覽器歷史記錄、已安裝應用程序和正在運行的進程的信息,并檢查是否安裝了 166 個加密貨幣錢包瀏覽器擴展,包括 MetaMask、Phantom、Coinbase Wallet、Binance Wallet 和 TronLink。
惡意軟件還根據操作系統使用不同的持久化方法,例如 Windows 注冊表 Run 鍵、macOS LaunchAgents 和 Linux systemd 服務。
Microsoft 表示,與攻擊者命令與控制服務器通信的系統具有后續活動,利用了先前與 Sapphire Sleet 相關的戰術。
這包括部署該組織先前使用的 PowerShell 后門、額外的持久化機制、Microsoft Defender 排除項以及授予 SYSTEM 權限的惡意 Windows 服務。
“該 PowerShell 后門、戰術和 C2 基礎設施已被 Sapphire Sleet 用于其他先前的活動中,”Microsoft 解釋道。
Sapphire Sleet 是一個朝鮮國家支持的威脅行為者,以加密貨幣盜竊活動、惡意瀏覽器擴展、虛假工作邀請和旨在竊取憑證和加密貨幣資產的軟件供應鏈妥協而聞名。
Microsoft 表示該組織還負責 2026 年 4 月對 Axios HTTP 客戶端的另一次 npm 供應鏈攻擊。
安全圈
網羅圈內熱點 專注網絡安全
實時資訊一手掌握!
好看你就分享 有用就點個贊
支持「安全圈」就點個三連吧!
特別聲明:以上內容(如有圖片或視頻亦包括在內)為自媒體平臺“網易號”用戶上傳并發布,本平臺僅提供信息存儲服務。
Notice: The content above (including the pictures and videos if any) is uploaded and posted by a user of NetEase Hao, which is a social media platform and only provides information storage services.
