朝鲜"熏染性采访"行动一连升级，npm平台现67个恶意包

首页 > 清静研究 > 清静转达 > 清静简讯

朝鲜“熏染性采访“行动一连升级，npm平台现67个恶意包

宣布时间 2025-07-16

1. 朝鲜"熏染性采访"行动一连升级，npm平台现67个恶意包

7月15日，近期，朝鲜政府支持的"熏染性采访"网络攻击行动在开源生态领域一连升级。据软件包清静平台Socket研究职员披露，威胁行为者向Node.js默认包管理器npm提交了67个伪装成正当项目的恶意软件包，总下载量突破17,000次。此次攻击被证实为该组织今年4月以来提倡的第二波大规模行动，上月其曾通过35个npm包植入信息窃取程序，凸显出朝鲜黑客对开发者生态的一连性渗透战略。攻击者延续了"虚伪事情时机"的经典社工手法，通过模拟着名项目名称（如vite-meta-plugin、postcss-preloader等）诱骗开发者装置恶意包。当受害者执行装置时，包内预设的"postinstall"剧本会触发新型XORIndex加载器。该工具通过网络主机信息并回传至托管于Vercel云平台的下令控制服务器（C2），进而吸收包括BeaverTail和InvisibleFerret后门的JavaScript载荷。这两个恶意软件家族可实现远程代码执行、数据泄露及后续载荷投放，形成完整的攻击链。此次使用的XORIndex加载器与历史攻击中的HexEval加载器保存手艺关联，显示攻击者正通过工具混用和微调实现检测规避。

https://www.bleepingcomputer.com/news/security/north-korean-xorindex-malware-hidden-in-67-malicious-npm-packages/

2. 新型HazyBeacon后门使用云服务窃取东南亚政府敏感数据

7月15日，东南亚政府机构正成为一场由国家支持型威胁行为者提倡的新型网络特工运动的目的。该攻击集群被帕洛阿尔托网络公司Unit 42团队命名为CL-STA-1020，其焦点工具为未被纪录的Windows后门程序HazyBeacon，旨在通过隐藏手段窃取涉及商业争端、外交政策等战略领域的敏感信息。据清静研究员剖析，攻击者通过DLL侧载手艺实现初始入侵：将恶意动态链接库文件mscorsvc.dll与正当Windows历程mscorsvw.exe捆绑植入受害系统。该恶意DLL在启动后，会与攻击者控制的AWS Lambda URL建设加密通讯渠道，使用亚马逊云服务的无服务器函数功效隐藏下令与控制（C2）流量。这种“依托可信服务（LOTS）”的战略，使威胁行为者得以在果真云平台上构建难以追溯的恶意通讯链路，同时通过系统服务实现长期化驻留，确珍重启后仍可运行。HazyBeacon的焦点功效是定向文件网络。其有用载荷会扫描并窃取特准时间规模内建设的文档（如.doc、.xls、.pdf等），尤其关注与美国近期关税步伐相关的文件。为规避检测，攻击者进一步使用谷歌云端硬盘和Dropbox等正当云存储服务作为数据外泄通道，将窃守信息混入正常流量传输。

https://thehackernews.com/2025/07/state-backed-hazybeacon-malware-uses.html

3. 国际执法行动摧毁罗马尼亚Diskstation勒索团伙

7月15日，由欧洲刑警组织协调的"Elicius行动"克日乐成瓦解罗马尼亚"Diskstation"勒索软件团伙，该组织自2021年起以Synology网络附加存储（NAS）装备为目的，对意大利伦巴第地区多家企业实验加密攻击，导致其营业系统瘫痪。法国与罗马尼亚警方团结加入的此次行动，标记着跨国网络清静执法相助取得重大突破。该团伙专门针对袒露在互联网上的NAS装备，这类装备常被企业用于文件存储、备份及共享。其勒索软件通过加密受害者数据，要求支付1万至数十万美元不等的加密钱币赎金，受害企业包括图形设计公司、影视制作机构、运动策划方及国际非政府组织。米兰审查官办公室向导的视察团队通过区块链追踪赎金流向，并团结受熏染系统的取证剖析，拘捕一名44岁罗马尼亚男子，该嫌疑人被指控为团伙主谋，现在因涉嫌不法侵入盘算机系统及诓骗勒索处于审前羁押状态。"Diskstation"勒索软件曾以"DiskStation Security""Quick Security"等差别名称变体活跃，凸显犯法分子通过手艺伪装规避检测的习用手法。

https://www.bleepingcomputer.com/news/security/police-disrupt-diskstation-ransomware-gang-attacking-nas-devices/

4. DragonForce勒索团伙声称攻击美国百年零售商Belk

7月15日，美国百年零售巨头Belk克日陷入网络清静�；�。勒索软件组织DragonForce果真宣称对2025年5月7日至11日时代针对该公司的攻击认真，并声称窃取了156GB内部数据，包括员工及客户的姓名、社会清静号码等敏感小我私家信息。此次事务导致Belk官网一度瘫痪，其应对步伐与数据泄露细节引发普遍关注。Belk建设于1888年，总部位于北卡罗来纳州夏洛特，在美国16个州运营约300家门店，主营打扮、家居用品及珠宝等商品。5月8日，Belk发明系统异常后，连忙团结第三方网络清静专家睁开视察，确认未经授权的第三方在此前四天内会见了部分公司系统并获取内部文件。只管Belk迅速接纳限制网络会见、重置密码、重修受影响服务器及安排增强监控工具等步伐，但部分包括小我私家信息的文件已被外泄。现在，该公司正配合执法部分视察，并为受影响用户提供12个月的免费信用监控与身份恢复服务。

https://securityaffairs.com/179958/data-breach/belk-hit-by-may-cyberattack-dragonforce-stole-150gb-of-data.html

5. Konfety Android恶意软件使用名堂过失的APK逃避检测

7月15日，移动清静平台Zimperium克日发明Konfety Android恶意软件推出新型变种，通过畸形ZIP结构、加密动态代码加载及APK压缩混淆等多重手艺，乐陋习避古板清静检测。该恶意软件伪装成Google Play上的正当应用，诱导用户通过第三方应用市肆下载，实则不具备任何允许功效，转而实验广告诓骗、信息窃取及潜在恶意行为。Konfety的焦点恶意功效包括：通过CaramelAds SDK加载隐藏广告、窃取用户已装置应用列表、网络设置及装备系统信息；同时使用地理围栏手艺凭证受害者所处地区调解行为模式，例如定向推送虚伪浏览器通知或诱导装置恶意应用。值得注重的是，其APK文件内嵌加密的辅助DEX�？椋媚？樵谠诵惺苯饷懿⒍釉兀ˋndroidManifest中声明的隐藏服务，为后续植入更危险功效预留接口。为逃避剖析，Konfety接纳三重混淆战略：其一，通过伪造APK的通用位标记，误导工具以为文件已加密，触发过失密码提醒以延迟逆向工程；其二，在APK文件中声明不支持的BZIP压缩名堂，导致JADX、APKTool等主流剖析工具剖析失败；其三，隐藏应用图标与名称，降低用户察觉危害。

https://www.bleepingcomputer.com/news/security/android-malware-konfety-uses-malformed-apks-to-evade-detection/

6. Shopify合规插件Consentik袒露数百商家敏感数据

7月15日，一款旨在资助电商企业遵守隐私规则的Shopify插件Consentik，近期被曝保存严重清静误差，导致数百家在线市肆的敏感数据在互联网上果真袒露长达四个月。这款由越南开发公司Omegatheme推出的工具，虽获得Shopify官方"专为Shopify打造"认证并拥有4.9星高评级，却因设置不当的Kafka服务器，将实时网站剖析数据、Shopify治理员凭证及Facebook广告令牌等要害信息袒露给任何知晓泉源的会见者。Consentik插件的焦点功效是向客户网站添加Cookie赞成横幅，协助商家知足GDPR、LGPD和CCPA等隐私合规要求。然而，研究团队发明，厥后台服务器未设置会见限制，导致包括Shopify小我私家会见令牌和Facebook身份验证令牌的数据一连泄露。这些凭证若被恶意使用，攻击者可能以治理员权限接受电市肆肆，实验修改价钱、注入恶意代码、窃取客户数据，甚至用垂纶页面替换正版店面等操作。别的，Facebook代币的泄露还可能使商家广告账户被挟制，造成预算消耗和品牌信托�；�。此次事务影响规模普遍，涉实时尚、化妆品、健身和消耗电子等多个领域的在线市肆。

https://cybernews.com/security/shopify-plugin-consentik-data-leak/

7*24小时服务热线

400-624-3900

+86(10)56631988(港澳专线)

官方微信

官方微博

网御星云合众数据书生电子云子可信

执法声明

尊龙凯时

网络清静防护

网络清静检测

应用清静

数据清静

清静治理

云清静

工控清静

移动及终端清静

密码应用清静

大模子应用清静

专业清静服务

清静运营中心

知白学院

威胁情报中心

清静转达

研究报告

清静团队

渠道系统

售后服务

升级通告

软件升级

公司概况

新闻动态

手艺专题

人才招聘

投资者关系

资源中心

联系尊龙凯时

清静研究