Lazarus Group卷土重来：npm软件存储库遭恶意代码植入攻击

首页 > 清静研究 > 清静转达 > 清静简讯

Lazarus Group卷土重来：npm软件存储库遭恶意代码植入攻击

宣布时间 2025-03-12

1. Lazarus Group卷土重来：npm软件存储库遭恶意代码植入攻击

3月12日，污名昭著的Lazarus Group黑客组织再次活跃，这次他们将恶意代码植入全球开发职员依赖的npm软件存储库。npm作为JavaScript代码的大型在线库，被开发职员普遍用于获取预先构建的软件片断。Lazarus Group使用“域名抢注”手艺，建设了与正当软件包名称相似的虚伪软件包，并设置了虚伪的GitHub页面以增添可信度。这些虚伪软件包已被下载数百次，旨在渗透开发职员的盘算机，窃取登录信息、加密钱币信息，并装置后门以供恒久会见。熏染后，恶意软件会执行多项恶意运动，包括网络系统详细信息、提取浏览器中的登录凭证、窃取加密钱币钱包，并装置其他恶意软件以坚持对受熏染系统的一连会见。此事务不但影响小我私家开发者，还可能让整个组织面临危害。虽然GitHub已删除所有恶意软件包，但Lazarus Group可能仍在运营其他恶意软件。因此，开发职员和组织应接纳自动的清静步伐，如验证软件包泉源、使用清静工具检测恶意依赖项、实验多层清静性、按期扫描第三方软件包中的误差，并教育团队识别可疑的软件包名称，以减轻供应链攻击带来的危害。

https://hackread.com/lazarus-group-backdoor-fake-npm-packages-attack/

2. MassJacker剪贴板挟制操作：窃取加密钱币的新威胁

3月11日，新发明的剪贴板挟制操作“MassJacker”已窃取大宗数字资产，使用至少778,531个加密钱币钱包地点从受熏染盘算机中转移资金。CyberArk发明，与该操作相关的钱包在剖析时包括约95,300美元，但历史生意金额更大，其中一个Solana钱包作为中央收款中心，已累计完成凌驾30万美元的生意。CyberArk嫌疑该操作由特定威胁组织提倡，但也可能接纳恶意软件即服务模式，由中央治理员向网络犯法分子出售会见权限。MassJacker使用剪贴板挟制恶意软件（clippers），监视Windows剪贴板中复制的加密钱币钱包地点，并将其替换为攻击者控制的地点，使受害者在不知情的情形下将资金转给攻击者。该操作通过托管盗版软件和恶意软件的网站pesktop[.]com分发，使用一系列重大的剧本和加载器，最终将MassJacker注入正当的Windows历程中。CyberArk呼吁网络清静研究界关注此类大型加密挟制行动，以获取威胁行为者的身份信息。

https://www.bleepingcomputer.com/news/security/massjacker-malware-uses-778-000-wallets-to-steal-cryptocurrency/

3. 虚伪伊隆·马斯克代言节能装备短信圈套揭秘

3月11日，近期，美国小我私家频仍收到使用伊隆·马斯克名义举行虚伪宣传的短信，旨在销售所谓的节能装备。Bitdefender清静研究职员揭破了这一圈套，指出诈骗者通过发送个性化短信，诱骗收件人点击恶意网站链接。这些短信声称能大幅降低电费，甚至引用虚伪的马斯克小序，宣传一种被谎称为马斯克发明的小型节能装备。这些伪造的文章使用令人信服的语言和手艺语言，以创立正当性的假象，并包括伪造的图片以进一步诱骗潜在受害者。短信运动始于1月份，已发送数千条新闻，多个域名仍处于运动状态。Bitdefender忠言称，这些域名可能在未来运动中被重复使用，建议小我私家小心此类未经请求的短信，直接向能源供应商核实任何能源折扣声明，并向电话运营商和外地政府报告可疑信息。同时，也提醒公众注重esavrrcom、gimelovecom和eaeloncom等域名可能保存的危害。

https://hackread.com/sms-scam-elon-musks-sell-fake-energy-devices-usa/

4. Ballista僵尸网络瞄准未修补的TP-Link Archer路由器

3月11日，Cato CTRL团队最新发明，未修补的TP-Link Archer AX-21路由器因保存高严重性清静误差CVE-2023-1389，已成为新僵尸网络Ballista的攻击目的。该误差自2023年4月起被使用，最初用于投放Mirai僵尸网络恶意软件，随后也被用于撒播其他恶意软件。Ballista运动于2025年1月10日被Cato CTRL检测到，最近一次使用实验在2月17日。该僵尸网络使用恶意软件投放器和shell剧本获取并执行目的系统上的主二进制文件，建设加密的下令和控制通道，实验RCE和DoS攻击，并实验读取敏感文件。Ballista支持多种下令，包括洪水攻击、启动�？椤⒆柚鼓？椤⒃诵蠰inux shell下令和终止服务等。恶意软件二进制文件中的C2 IP地点和意大利语字符串批注有未知意大利威胁行为者加入。然而，该恶意软件正在起劲开发中，已泛起使用TOR网络域的新投放器变种。现在，凌驾6000台装备受到Ballista熏染，主要集中在巴西、波兰、英国、保加利亚和土耳其等国，目的为美国、澳大利亚、中国和墨西哥的制造业、医疗/保健、服务业和手艺组织。只管与其他僵尸网络有相似之处，Ballista仍有其奇异性。

https://thehackernews.com/2025/03/ballista-botnet-exploits-unpatched-tp.html

5. CISA忠言：Ivanti EPM装备误差威胁联邦机构网络清静

3月11日，CISA忠言美国联邦机构注重�；て渫�，提防针对Ivanti Endpoint Manager (EPM) 装备的三个严重误差（CVE-2024-13159、CVE-2024-13160和CVE-2024-13161）的攻击。Ivanti与全球7000多家组织相助，为40000多家公司提供系统和IT资产治明确决计划。这些误差由绝对路径遍历弱点造成，可使远程未经身份验证的攻击者完全破损易受攻击的服务器。这些误差于去年10月被报告，并于今年1月13日被Ivanti修复。然而，仅一个多月后，Horizon3.ai宣布了看法验证误差，可用于中继攻击，胁迫Ivanti EPM机械凭证。CISA已将这些误差添加到其已知被使用误差目录中，联邦民事行政部分机构需在三周内�；て湎低趁馐芄セ�。CISA强烈鞭策所有组织实时修复目录误差，以镌汰遭受网络攻击的危害。自2025年头以来，有特工行为者已使用Ivanti误差举行攻击。

https://www.bleepingcomputer.com/news/security/cisa-tags-critical-ivanti-epm-flaws-as-actively-exploited-in-attacks/

6. 巴黎索邦大学遭人工智能开发的Funksec勒索软件攻击

3月10日，Funksec勒索软件组织以其安排的据称是首个接纳天生式人工智能（GenAI）的勒索软件而著名，最近该组织声称攻破了历史悠久的巴黎索邦大学，并在其暗网泄露网站上宣布了据称从该校服务器窃取的20GB文件的信息，给予学校官员约莫12天时间支付未果真的赎金。索邦大学是一所拥有55,000名学生和数千名研究及行政职员的公立大学，此前也曾遭受过重大黑客攻击。Funksec自2024年11月果真泛起以来，一直在加大攻击次数，主要针对美国、印度、西班牙和蒙古的政府和国防、手艺、金融和教育领域。该组织使用人工智能开发勒索软件，被列为已往周围内最活跃的五大勒索软件组织之一。别的，Funksec还建设了一个包括拍卖网站、市场和讨论论坛在内的完整生态系统，致力于让这个市场成为Tor网络中最好的。

https://cybernews.com/news/sorbonne-university-paris-claim-funksec-ai-ransomware-attack/

7*24小时服务热线

400-624-3900

+86(10)56631988(港澳专线)

官方微信

官方微博

网御星云合众数据书生电子云子可信

执法声明

尊龙凯时

网络清静防护

网络清静检测

应用清静

数据清静

清静治理

云清静

工控清静

移动及终端清静

密码应用清静

大模子应用清静

专业清静服务

清静运营中心

知白学院

威胁情报中心

清静转达

研究报告

清静团队

渠道系统

售后服务

升级通告

软件升级

公司概况

新闻动态

手艺专题

人才招聘

投资者关系

资源中心

联系尊龙凯时

清静研究