朝鲜黑客通过开源软件中心攻击加密货币开发者

一家美国网络安全公司表示，朝鲜黑客已将全球使用最广泛的软件库之一变成了恶意软件的传播系统。报告上周，研究人员插座供应链安全公司表示，他们发现超过 300 个恶意代码包上传至 npm 注册表，数百万开发人员用来共享和安装 JavaScript 软件的中央存储库。

这些软件包——从网站到加密应用程序等各种领域使用的可重复使用的小代码片段——设计得看似无害。但一旦下载，它们安装了能够窃取密码、浏览器数据和加密货币钱包密钥的恶意软件Socket 表示，这项名为“传染性采访”是朝鲜政府支持的黑客他们假扮技术招聘人员，瞄准区块链、Web3 和相关行业的开发人员。

为什么重要：npm软件本质上是现代网络的支柱。一旦攻陷它，攻击者就能将恶意代码植入无数下游应用程序中。多年来，安全专家一直警告称，此类“软件供应链”攻击是网络空间中最危险的攻击之一，因为它们会通过合法的更新和依赖项进行隐形传播。

通往朝鲜的路径

Socket 的研究人员通过一组相似的软件包名称（流行库的拼写错误版本，例如表达, dotenv， 和 安全帽— 并通过与之前发现的朝鲜恶意软件家族相关的代码模式，称为海狸尾 和 隐形雪貂攻击者使用加密的“加载器”脚本，直接在内存中解密并执行隐藏的有效载荷，在磁盘上几乎不留下任何痕迹。

该公司粗略地表示5万次下载恶意软件包在许多被删除之前就已经存在，尽管有些仍然在线。黑客还利用虚假 LinkedIn 招聘人员账户，这一策略与朝鲜此前记录的网络间谍活动一致美国网络安全和基础设施安全局（CISA）并曾报道解密调查人员认为，最终目标是持有访问凭证和数字钱包的机器。

虽然Socket的调查结果与其他安全组织和政府机构的报告一致，这些报告将朝鲜与总额达数十亿美元的加密货币盗窃案联系起来，但所有细节（例如被盗包裹的具体数量）仍需独立核实。尽管如此，所描述的技术证据和模式与此前归咎于平壤的事件一致。

Npm 的所有者，GitHub 曾表示它会在发现恶意软件后将其删除，并改进账户验证要求。但研究人员表示，这种模式就像打地鼠一样：删除一组恶意软件，很快就会有数百个恶意软件取而代之。

对于开发者和加密货币初创公司来说，这一事件凸显了软件供应链已经变得多么脆弱。安全研究人员敦促各团队将每个“npm install”命令视为潜在的代码执行在将依赖项合并到项目中之前对其进行扫描，并使用自动审查工具来捕获被篡改的软件包。开源生态系统的优势——开放性——在对手决定将其武器化时，仍然是其最大的弱点。