微软威胁情报发现了两个遭篡改的 npm 包,正在向开发者和加密货币用户分发远程访问木马(RAT)恶意软件。这些恶意包被识别为 utils-terminal@3.2.1 和 logger-active@3.2.1,会从受感染系统中窃取按键记录、截图以及加密货币钱包凭证。攻击者使用 Hugging Face 仓库来外传被窃取的信息,从而让安全团队更难发现。该活动面向包含基于浏览器的加密货币钱包的开发者工作站,目标包括私钥、交易所 API 凭证以及云服务凭证。此次发现属于持续的软件供应链风险的一部分,影响到在开发机器上存储敏感资产的开发者和加密货币用户。
微软识别出分发 RAT 木马的恶意 npm 包
微软警告称,网络犯罪分子正通过隐藏在公共 npm 包中的恶意软件,瞄准开发者和加密货币用户。根据微软威胁情报,两处遭篡改的 npm 包被发现正在分发远程访问木马(RAT),它们被识别为 utils-terminal@3.2.1 和 logger-active@3.2.1,能够从受感染系统中窃取敏感信息。
据称,这些恶意包被设计为收集广泛的数据类型,包括按键记录、截图、加密货币钱包凭证以及其他机密信息。由于 npm 是 JavaScript 开发者最广泛使用的软件注册表之一,该威胁可能影响大量用户——他们在构建应用或 Web 服务时,在不知情的情况下安装了遭篡改的依赖项。
攻击者通过 Hugging Face 平台转出被窃取数据
微软解释称,攻击者在数据外传过程中使用了 Hugging Face,这是一款用于人工智能和机器学习项目的热门平台。通过将被窃取的信息路由到受信任的平台,恶意活动的可疑程度可能低于与传统指挥与控制(C2)服务器的通信,从而让安全团队更难发现。
恶意软件瞄准加密货币钱包和开发者凭证
对加密货币开发者和投资者而言,这项威胁尤其令人担忧。开发者工作站通常包含基于浏览器的加密货币钱包、私钥、助记词备份、交易所 API 凭证、GitHub access tokens 以及云服务凭证。如果攻击者获取了这些资产,他们可能会危及加密货币持仓、开发环境、交易系统以及代码仓库。
活动与先前的软件供应链攻击相关联
微软的调查结果也与针对软件供应链的攻击趋势相吻合。今年 5 月,安全研究人员发现 TrapDoor 恶意软件活动,该活动通过 npm、PyPI 和 Rust 仓库中的数十个恶意包传播。该行动通过尝试窃取钱包数据、云凭证、API 密钥以及 SSH 访问,专门瞄准了加密货币与人工智能开发者。
最新警告也延续了微软此前另一份关于加密劫持(cryptojacking)恶意软件的近期报告。据称,在那次活动中,攻击者利用投毒的搜索结果,并操纵 AI 聊天机器人交互,引导用户下载伪造的软件。安装后,恶意程序在受害者不知情的情况下利用系统资源挖掘加密货币。
安全专家建议轮换凭证并审查数据包
安全专家建议开发者仔细审查新安装的数据包,移除可疑依赖项,轮换可能已暴露的凭证,并监控钱包活动以发现未授权交易。也建议加密货币用户避免在联网设备上存储助记词,并在批准任何钱包交易之前彻底核验所有钱包交易。
常见问题
微软发现了哪些恶意 npm 包?
微软威胁情报识别出两个遭篡改的 npm 包:utils-terminal@3.2.1 和 logger-active@3.2.1。这些包会分发远程访问木马恶意软件,能够从受感染系统中窃取按键记录、截图、加密货币钱包凭证以及其他机密信息。
攻击者如何从受感染系统中外传被窃取的数据?
攻击者在数据外传过程中使用了 Hugging Face,这是一款用于人工智能和机器学习项目的热门平台。通过将被窃取的信息路由到受信任的平台,恶意活动的可疑程度可能低于与传统指挥与控制(C2)服务器的通信,从而让安全团队更难发现。
专家建议开发者采取哪些安全措施?
安全专家建议开发者仔细审查新安装的数据包,移除可疑依赖项,轮换可能已暴露的凭证,并监控钱包活动以发现未授权交易。也建议加密货币用户避免在联网设备上存储助记词,并在批准任何钱包交易之前彻底核验所有钱包交易。
