Lazarus Group卷土沉来：npm软件存储库遭恶意代码植入攻击

首页 > 安全钻研 > 安全传递 > 安全简讯

Lazarus Group卷土沉来：npm软件存储库遭恶意代码植入攻击

颁布功夫 2025-03-12

1. Lazarus Group卷土沉来：npm软件存储库遭恶意代码植入攻击

3月12日，臭名远扬的Lazarus Group黑客组织再次活跃，这次他们将恶意代码植入全球开发人员依赖的npm软件存储库。npm作为JavaScript代码的大型在线库，被开发人员宽泛用于获取预先构建的软件片段。Lazarus Group利用“域名抢注”技术，创建了与合法软件包名称类似的虚伪软件包，并设置了虚伪的GitHub页面以增长可信度。这些虚伪软件包已被下载数百次，旨在渗入开发人员的推算机，窃取登录信息、加密钱币信息，并装置后门以供持久接见。习染后，恶意软件会执行多项恶意活动，蕴含网络系统具体信息、提取浏览器中的登录痛处、窃取加密钱币钱包，并装置其他恶意软件以维持对受习染系统的持续接见。此事务不仅影响幼我开发者，还可能让整个组织面对风险。固然GitHub已删除所有恶意软件包，但Lazarus Group可能仍在运营其他恶意软件。因而，开发人员和组织应采取自动的安全措施，如验证软件包起源、使用安全工具检测恶意依赖项、执行多层安全性、定期扫描第三方软件包中的缝隙，并教育团队鉴别可疑的软件包名称，以减轻供给链攻击带来的风险。

https://hackread.com/lazarus-group-backdoor-fake-npm-packages-attack/

2. MassJacker剪贴板劫持操作：窃取加密钱币的新威胁

3月11日，新发现的剪贴板劫持操作“MassJacker”已窃取大量数字资产，利用至少778,531个加密钱币钱包地址从受习染推算机中转移资金。CyberArk发现，与该操作有关的钱包在分析时蕴含约95,300美元，但汗青买卖金额更大，其中一个Solana钱包作为中央收款中心，已累计实现超过30万美元的买卖。CyberArk疑惑该操作由特定威胁组织提议，但也可能选取恶意软件即服务模式，由中央治理员向网络犯罪分子销售接见权限。MassJacker使用剪贴板劫持恶意软件（clippers），监督Windows剪贴板中复造的加密钱币钱包地址，并将其代替为攻击者节造的地址，使受害者在不知情的情况下将资金转给攻击者。该操作通过托管盗版软件和恶意软件的网站pesktop[.]com分发，利用一系列复杂的剧本和加载器，最终将MassJacker注入合法的Windows过程中。CyberArk呼吁网络安全钻研界关注此类大型加密劫持行动，以获取威胁行为者的身份信息。

https://www.bleepingcomputer.com/news/security/massjacker-malware-uses-778-000-wallets-to-steal-cryptocurrency/

3. 虚伪伊隆·马斯克代言节能设备短信圈套揭秘

3月11日，近期，美国幼我频仍收到利用伊隆·马斯克名义进行虚伪宣传的短信，旨在销售所谓的节能设备。Bitdefender安全钻研人员告发了这一圈套，指出诳骗者通过发送个性化短信，诱骗收件人点击恶意网站链接。这些短信宣称能大幅降低电费，甚至引用虚伪的马斯克引言，宣传一种被谎称为马斯克发现的幼型节能设备。这些伪造的文章使用令人折服的说话和技术措辞，以创造合法性的假象，并蕴含伪造的图片以进一步糊弄潜在受害者。短信活动始于1月份，已发送数千条新闻，多个域名仍处于活动状态。Bitdefender忠告称，这些域名可能在将来活动中被沉复使用，建议幼我警惕此类未经要求的短信，直接向能源供给商核实任何能源折扣申明，并向电话运营商和本地当局汇报可疑信息。同时，也提醒公家把稳esavrrcom、gimelovecom和eaeloncom蹬昨名可能存在的风险。

https://hackread.com/sms-scam-elon-musks-sell-fake-energy-devices-usa/

4. Ballista僵尸网络对准未建补的TP-Link Archer路由器

3月11日，Cato CTRL团队最新发现，未建补的TP-Link Archer AX-21路由器因存在高严沉性安全缝隙CVE-2023-1389，已成为新僵尸网络Ballista的攻击指标。该缝隙自2023年4月起被利用，最初用于投放Mirai僵尸网络恶意软件，随后也被用于传布其他恶意软件。Ballista活动于2025年1月10日被Cato CTRL检测到，最近一次利用尝试在2月17日。该僵尸网络利用恶意软件投放器和shell剧本获取并执行指标系统上的主二进造文件，成立加密的号令和节造通路，执行RCE和DoS攻击，并尝试读取敏感文件。Ballista支持多种号令，蕴含洪水攻击、启动�？椤⒅粘∧？椤⒃诵蠰inux shell号令和终止服务等。恶意软件二进造文件中的C2 IP地址和意大利语字符串批注有未知意大利威胁行为者参加。然而，该恶意软件在积极开发中，已出现使用TOR网络域的新投放器变种。目前，超过6000台设备受到Ballista习染，重要集中在巴西、波兰、英国、保加利亚和土耳其等国，指标为美国、澳大利亚、中国和墨西哥的造作业、医疗/保健、服务业和技术组织。只管与其他僵尸网络有类似之处，Ballista仍有其独个性。

https://thehackernews.com/2025/03/ballista-botnet-exploits-unpatched-tp.html

5. CISA忠告：Ivanti EPM设备缝隙威胁联国机构网络安全

3月11日，CISA忠告美国联国机构把稳�；て渫�，防备针对Ivanti Endpoint Manager (EPM) 设备的三个严沉缝隙（CVE-2024-13159、CVE-2024-13160和CVE-2024-13161）的攻击。Ivanti与全球7000多家组织合作，为40000多家公司提供系统和IT资产治理解决规划。这些缝隙由绝对蹊径遍历弱点造成，可使远程未经身份验证的攻击者齐全粉碎易受攻击的服务器。这些缝隙于去年10月被汇报，并于今年1月13日被Ivanti建复。然而，仅一个多月后，Horizon3.ai颁布了概想验证缝隙，可用于中继攻击，胁迫Ivanti EPM机械凭证。CISA已将这些缝隙增长到其已知被利用缝隙目录中，联国民事行政部门机构需在三周内�；て湎低趁馐芄セ�。CISA强烈督促所有组织实时建复目录缝隙，以削减遭逢网络攻击的风险。自2025岁首以来，有间谍行为者已利用Ivanti缝隙进行攻击。

https://www.bleepingcomputer.com/news/security/cisa-tags-critical-ivanti-epm-flaws-as-actively-exploited-in-attacks/

6. 巴黎索国大学遭人为智能开发的Funksec勒索软件攻击

3月10日，Funksec勒索软件组织以其部署的据称是首个选取天生式人为智能（GenAI）的勒索软件而闻名，最近该组织宣称攻破了汗青悠久的巴黎索国大学，并在其暗网泄露网站上颁布了据称从该校服务器窃取的20GB文件的信息，赐与学堂官员约莫12天功夫支付未公开的赎金。索国大学是一所占有55,000名学生和数千名钻研及行政人员的公立大学，此前也曾遭逢过沉大黑客攻击。Funksec自2024年11月公开出现以来，一向在加大攻击次数，重要针对美国、印度、西班牙和蒙古确当局和国防、技术、金融和教育领域。该组织使用人为智能开发勒索软件，被列为从前周围内最活跃的五大勒索软件组织之一。此表，Funksec还成立了一个蕴含拍卖网站、市场和会商论坛在内的齐全生态系统，致力于让这个市场成为Tor网络中最好的。

https://cybernews.com/news/sorbonne-university-paris-claim-funksec-ai-ransomware-attack/

7*24幼时服务热线

400-624-3900

+86(10)56631988(港澳专线)

官方微信

官方微博

网御星云合多数据书生电子云子可信

司法申明

GA黄金甲

网络安全防护

网络安全检测

利用安全

数据安全

安全治理

云安全

工控安全

移动及终端安全

密码利用安全

大模型利用安全

专业安全服务

安全运营中心

知白学院

威胁谍报中心

安全传递

钻研汇报

安全团队

渠路系统

售后服务

升级布告

软件升级

公司概况

新闻动态

技术专题

人才招聘

投资者关系

资源中心

联系GA黄金甲

安全钻研