npm恶意软件对准Atomic和Exodus钱包

首页 > 安全钻研 > 安全传递 > 安全简讯

npm恶意软件对准Atomic和Exodus钱包

颁布功夫 2025-04-11

1. npm恶意软件对准Atomic和Exodus钱包

4月10日，网络安全公司 ReversingLabs（RL）近期发现了一种针对加密钱币用户的新战术，网络犯罪分子正利用 npm（节点包治理器）网络，向本地装置的加密钱币钱包软件（尤其是 Atomic Wallet 和 Exodus）注入恶意代码。这次攻击通过恶意建补合法软件文件实现，攻击者可借此偷偷互换收件人钱包地址，从而拦截加密钱币转移。RL 发现了一个名为“pdf-to-office”的恶意 npm 包，该包假装成将 PDF 文件转换为 Microsoft Office 文档的实用法式，但执行时会部署恶意负载，批改 Atomic Wallet 和 Exodus 装置目录中的关键文件。恶意软件用木马版本覆盖合法文件，奥秘更改加密钱币买卖的指标地址，且难以被觉察，由于钱包主题职能看似未变。此表，软件包中还发现了一个经过混合的 JavaScript 文件，露出了其恶意意图。这次攻击拥有悠久性，即便恶意“pdf-to-office”软件包被删除，受习染的加密钱币钱包软件仍会维持习染状态，木马文件仍在运行，悄无声息地将资金沉定向到攻击者的 Web3 钱包。解除威胁的唯一有效步骤是彻底删除并沉新装置受影响的钱包软件。

https://hackread.com/npm-malware-atomic-exodus-wallets-hijack-crypto/

2. 俄勒冈州环境机构在遭逢网络攻击后关关网络

4月11日，近日，俄勒冈州环境质量局（DEQ）遭逢网络攻击，导致其网络被迫关关。该机构掌管监管俄勒冈州的空气、地皮和水质量，这次攻击对其运营造成了严沉影响。DEQ官员暗示，车辆查抄站将关关至周五，以应对这次网络攻击。目前，该机构在全力隔离服务器和网络，直至攻击被齐全节造并可能被根除。DEQ的IT、企业信息系统和微软网络安全团队在缜密合作，共同应对这次网络安全问题。与此同时，其他州也颁发了近期影响关键当局服务的网络事务。亚利桑那州联国公共辩护人办公室因勒索软件攻击已关关，多起案件审理功夫已改至五月。爱达荷州古丁县网络也遭逢了勒索软件攻击，县辅导已联系联国法律部门，并礼聘网络安全公司协助节造事务。此表，内布拉斯加州北普拉特天然资源区也证实遭逢了网络攻击和数据泄露。值妥贴心的是，截至目前，尚无任何勒索软件团伙或黑客组织宣称对这些事务掌管。

https://therecord.media/oregon-department-environmental-quality-cyberattack

3. Gamaredon组织升级攻击伎俩，西方网络面对新威胁

4月10日，俄罗斯当局支持的黑客组织Gamaredon（别名“Shuckworm”）自2025年2月至3月，持续针对西方国度在乌克兰的军事工作发起攻击，可能通过可移动硬盘进行。钻研人员指出，这次攻击中，黑客部署了更新版本的GammaSteel信息窃取恶意软件以窃取数据。攻击始于蕴含恶意.LNK文件的可移动驱动器，这是Gamaredon从前常用的攻击伎俩。这次，钻研人员观察到威胁行为者的战术有所变动，蕴含从VBS剧本转向基于PowerShell的工具、对有效载荷进行更多混合以及更多地使用合法服务进行逃避。在习染过程中，一个高度混合的剧本会创建并运行两个文件，别离处置号令和节造通讯及传布机造，同时暗藏某些文件夹和系统文件。Gamaredon还使用窥伺PowerShell剧本捕获和泄露设备信息，并最终部署基于PowerShell的GammaSteel版本，窃取桌面、文档和下载等地位的文档。该恶意软件使用“certutil.exe”对文件进行哈希处置，并通过PowerShell Web要求或Tor上的cURL传输被盗数据，同时在指标推算机上成立悠久性。

https://www.bleepingcomputer.com/news/security/russian-hackers-attack-western-military-mission-using-malicious-drive/

4. Medusa攻击脉搏垂危护理中心，泄露数据并索要赎金

4月9日，近日，黑客组织美杜莎（Medusa）对脉搏垂危护理中心（Pulse Urgent Care Center）发起攻击，该中心提供垂危护理、临床医学、女性健全、工伤赔偿和雇主服务等一系列医疗服务，总部位于加州雷丁，在雷德巴夫也设有分部。据报路，Medusa颁布了部门证据，其中蕴含一个文件树，内有超过127,000行文本体式的数据。泄露的数据涵盖患者病历（蕴含诊断、医治和查抄了局等）、治理数据（与医疗保健提供者内部治理有关的业务信息）、保险数据（有关患者健全保险政策的信息）、提供者列表（有关医生和医疗保健专业人员的数据）、提供者纪录更新表、雇主联系和账单信息表，以及Rapid Radiology, Inc.网站的登录凭证。Medusa针对这次事务列出了清单，要求支付120,000美元的BTC以下载或删除所罕见据。截至目前，Pulse Urgent Care Center的网站上未显示任何异常迹象，且该中心尚未对这次攻击做出确认或否定。

https://databreaches.net/2025/04/09/__trashed-15/

5. OttoKit WordPress插件高危缝隙遭黑客迅快利用

4月10日，近日，WordPress的OttoKit（前称SureTriggers）插件曝出高严沉性身份验证绕过缝隙（CVE-2025-3102），该缝隙影响1.0.78及以上版本。由于authenticating_user()函数中短缺空值查抄，当插件未配置API密钥时，攻击者可通过发送空的st_authorization标头绕过身份验证，未经授权接见受�；さ腁PI端点，进而创建新的治理怨厥户，存在齐全站点收受的高风险。安全钻研员“mikemyers”于3月中旬发现此缝隙并获得赏金，4月3日，插件供给商颁布1.0.79版建复法式。然而，缝隙披露后仅数幼时，黑客便起头利用此缝隙，尝试创建新的治理怨厥户。Patchstack钻研人员忠告称，这种迅快的利用凸显了当即利用补丁或缓解措施的火急必要。鉴于OttoKit插件已在10万个网站上活跃，且该缝隙影响宽泛，强烈建议用户尽快升级到1.0.79版本，并查抄日志中是否存在意表的治理怨厥户或其他用户角色、插件/主题的装置、数据库接见事务以及安全设置的批改，以确保网站安全。

https://www.bleepingcomputer.com/news/security/hackers-exploit-wordpress-plugin-auth-bypass-hours-after-disclosure/

6. Gladinet CentreStack零日缝隙CVE-2025-30406遭在野利用

4月9日，自3月份起，黑客利用Gladinet CentreStack安全文件共享软件中的零日缝隙（CVE-2025-30406）入侵存储服务器。该缝隙是一个反序列化缝隙，影响16.1.10296.56315及以上版本。问题源于CentreStack门户配置中使用了硬编码的machineKey，攻击者若通达此密钥，可编写并执行恶意序列化负载，绕过齐全性查抄，注入肆意序列化对象，最终在服务器上执行代码。Gladinet已于2025年4月3日颁布安全建复法式，版本为16.4.10315.56368、16.3.4763.56357（Windows）和15.12.434（macOS）。供给商建议用户尽快升级到最新版本，对于无法当即更新的客户，建议轮换machineKey值作为一时缓解措施，并确保多服务器部署中跨节点的一致性，在更改后沉新启动IIS以利用缓解措施。CISA已将该缝隙增长到其已知利用缝隙目录中，并要求受影响的州和联国组织在2025年4月29日之前利用安全更新缓和解措施，不然终场使用该产品。鉴于该产品的性质，它很可能被利用来进行数据偷窃攻击。

https://www.bleepingcomputer.com/news/security/centrestack-rce-exploited-as-zero-day-to-breach-file-sharing-servers/

7*24幼时服务热线

400-624-3900

+86(10)56631988(港澳专线)

官方微信

官方微博

网御星云合多数据书生电子云子可信

司法申明

GA黄金甲

网络安全防护

网络安全检测

利用安全

数据安全

安全治理

云安全

工控安全

移动及终端安全

密码利用安全

大模型利用安全

专业安全服务

安全运营中心

知白学院

威胁谍报中心

安全传递

钻研汇报

安全团队

渠路系统

售后服务

升级布告

软件升级

公司概况

新闻动态

技术专题

人才招聘

投资者关系

资源中心

联系GA黄金甲

安全钻研