【安全圈】朝鮮新一輪攻擊：利用 AI 植入 npm 惡意軟件、虛假公司和遠(yuǎn)程訪問木馬

關(guān)鍵詞

黑殼攻擊

網(wǎng)絡(luò)安全研究人員在一個(gè) npm 軟件包中發(fā)現(xiàn)了惡意代碼，該惡意軟件包作為依賴項(xiàng)被引入到由 Anthropic 公司的 Claude Opus 大語言模型（LLM）參與的項(xiàng)目中。

這個(gè)被質(zhì)疑的軟件包是 “@validate - sdk/v2”，在 npm 上它被列為一個(gè)用于哈希運(yùn)算、驗(yàn)證、編碼 / 解碼以及安全隨機(jī)數(shù)生成的實(shí)用軟件開發(fā)工具包（SDK）。然而，其真正功能是從受感染環(huán)境中掠奪敏感機(jī)密信息。該軟件包顯示出利用生成式人工智能（AI）編寫代碼的跡象，于 2025 年 10 月首次上傳至代碼庫。

ReversingLabs 將此次惡意軟件攻擊行動代號命名為 “PromptMink”，并認(rèn)為這是朝鮮威脅行為者 “著名千里馬”（又名 “狡猾海盜”）發(fā)起的更廣泛攻擊活動的一部分，“著名千里馬” 正是長期運(yùn)行的 “傳染性面試” 活動以及欺詐性 “IT 工人” 騙局的幕后黑手。

ReversingLabs 研究員弗拉基米爾?佩佐（Vladimir Pezo）在與《黑客新聞》分享的一份報(bào)告中表示：“新的惡意軟件攻擊活動…… 涉及一個(gè)受污染的軟件包，該軟件包在 2 月 28 日對一個(gè)自主交易代理的提交中被引入。此次提交由 Anthropic 的 Claude Opus 大語言模型共同完成。它使攻擊者能夠訪問用戶的加密貨幣錢包和資金。”

該軟件包被列為另一個(gè)名為 “@solana - launchpad/sdk” 的 npm 軟件包的依賴項(xiàng)，而 “@solana - launchpad/sdk” 又被一個(gè)名為 “openpaw - graveyard” 的軟件包使用。“openpaw - graveyard” 被描述為一個(gè) “自主人工智能代理”，它使用 Tapestry 協(xié)議在 Solana 區(qū)塊鏈上創(chuàng)建社交鏈上身份，通過 Bankr 進(jìn)行加密貨幣交易，并與 Moltbook 上的其他代理進(jìn)行交互。

ReversingLabs 稱，2026 年 2 月的一次提交中，由人工智能代理生成的軟件包作為依賴項(xiàng)被添加進(jìn)來，導(dǎo)致代理軟件包執(zhí)行惡意代碼，攻擊者通過泄露的憑證獲取受害者加密貨幣錢包和資金的訪問權(quán)限。

此次攻擊采用分階段方式，第一層軟件包不包含任何惡意代碼，但會導(dǎo)入實(shí)際嵌入惡意功能的第二層軟件包。如果第二層軟件包被檢測到或從 npm 上移除，它們會迅速被替換。

部分已識別的第一層軟件包如下

• @solana - launchpad/sdk

• @meme - sdk/trade

• @validate - ethereum - address/core

• @solmasterv3/solana - metadata - sdk

• @pumpfun - ipfs/sdk

• @solana - ipfs/sdk

ReversingLabs 解釋說：“它們實(shí)現(xiàn)了一些與加密貨幣相關(guān)的功能。每個(gè)軟件包都列出了許多依賴項(xiàng)，其中大多數(shù)是下載量達(dá)數(shù)百萬甚至數(shù)十億的流行 npm 軟件包，如 axios、bn.js 等。然而，有少數(shù)依賴項(xiàng)是來自第二層的惡意軟件包。”

威脅行為者采用多種技術(shù)幫助惡意軟件包逃避檢測。其中包括創(chuàng)建已存在于列出的流行軟件包中的函數(shù)的惡意版本。另一種技術(shù)是仿冒域名，即軟件包的名稱和描述模仿合法庫。

作為此次攻擊活動一部分發(fā)布到 npm 的首個(gè)軟件包版本可追溯到 2025 年 9 月，當(dāng)時(shí) “@hash - validator/v2” 被上傳至代碼庫。將加密貨幣竊取程序分為兩部分 —— 一個(gè)良性誘餌用于下載實(shí)際惡意軟件，這種決策可能有助于其逃避檢測，并掩蓋攻擊的真實(shí)規(guī)模。

值得注意的是，兩個(gè)月后 JFrog 記錄了該活動的一些方面，強(qiáng)調(diào)威脅行為者利用傳遞依賴關(guān)系在開發(fā)者系統(tǒng)上執(zhí)行惡意代碼并虹吸有價(jià)值的數(shù)據(jù)。

在隨后的幾個(gè)月里，該攻擊活動經(jīng)歷了各種變化，甚至在 2026 年 2 月針對 Python 軟件包索引（PyPI）推出了具有相同功能的惡意軟件包（“scraper - npm”）。就在上個(gè)月，還觀察到威脅行為者通過 SSH 建立持久遠(yuǎn)程訪問，并使用 Rust 編譯的有效載荷從受感染系統(tǒng)中竊取包含源代碼和其他知識產(chǎn)權(quán)的整個(gè)項(xiàng)目。

該惡意軟件的早期版本是基于混淆 JavaScript 的竊取程序，它會遞歸掃描當(dāng)前工作目錄中的.env 或.json 文件，并準(zhǔn)備將其泄露到 Vercel 網(wǎng)址（“ipfs - url - validator.vercel.app”），“著名千里馬” 在其攻擊活動中多次濫用這個(gè)平臺。

雖然隨后的版本以 Node.js 單可執(zhí)行應(yīng)用程序（SEA）的形式嵌入了 PromptMink，但它也有一個(gè)明顯的缺點(diǎn)，即有效載荷大小從僅僅 5.1KB 增長到約 85MB。據(jù)說這導(dǎo)致威脅行為者轉(zhuǎn)而使用 NAPI - RS 在 Rust 中創(chuàng)建預(yù)編譯的 Node.js 附加組件。

該惡意軟件從簡單的信息竊取程序演變?yōu)獒槍?Windows、Linux 和 macOS 的專門多平臺收集程序，能夠植入 SSH 后門并收集整個(gè)項(xiàng)目，這表明朝鮮威脅行為者持續(xù)瞄準(zhǔn)開源生態(tài)系統(tǒng)，以攻擊 Web3 領(lǐng)域的開發(fā)者。

ReversingLabs 補(bǔ)充說：“‘著名千里馬’正在利用人工智能生成的代碼和分層軟件包策略來逃避檢測，并且比人類開發(fā)者更有效地欺騙自動化編碼助手。”

“傳染性交易者” 出現(xiàn)

這些發(fā)現(xiàn)與一個(gè)名為 “express - session - js” 的惡意 npm 軟件包的發(fā)現(xiàn)相吻合，據(jù)信該軟件包與 “傳染性面試” 活動有關(guān)，該庫充當(dāng)了一個(gè)下載器的管道，從 JSON Keeper（一個(gè)粘貼服務(wù)）獲取第二階段混淆的有效載荷。

SafeDep 本月指出：“對第二階段有效載荷的靜態(tài)反混淆顯示，這是一個(gè)完整的遠(yuǎn)程訪問木馬（RAT）和信息竊取程序，它通過 Socket.IO 連接到 216 [.] 126 [.] 237 [.] 71，具備瀏覽器憑證竊取、加密貨幣錢包提取、截圖捕獲、剪貼板監(jiān)控、鍵盤記錄以及遠(yuǎn)程鼠標(biāo) / 鍵盤控制等功能。”

有趣的是，使用 “socket.io - client” 等合法軟件包進(jìn)行命令與控制（C2）通信、“screenshot - desktop” 進(jìn)行屏幕捕獲、“sharp” 進(jìn)行圖像壓縮以及 “clipboardy” 進(jìn)行剪貼板訪問，這與已知的 “OtterCookie” 竊取惡意軟件的使用情況重疊，“OtterCookie” 也與該活動有關(guān)。

這次的新變化是增加了 “@nut - tree - fork/nut - js” 軟件包用于鼠標(biāo)和鍵盤控制，這表明攻擊者試圖更廣泛地升級遠(yuǎn)程訪問木馬的功能，以便對受感染主機(jī)進(jìn)行交互式控制。

就 “OtterCookie” 而言，它自身也在不斷演變，通過托管在 Bitbucket 上的一個(gè)被植入木馬的開源 3D 國際象棋項(xiàng)目以及 “gemini - ai - checker”、“express - flowlimit” 和 “chai - extensions - extras” 等惡意 npm 軟件包進(jìn)行分發(fā)。

作為名為 “傳染性交易者” 活動的一部分，還采用了一種類似俄羅斯套娃的方法。攻擊從下載一個(gè)良性包裝軟件包（例如 “bjs - biginteger”）開始，然后該軟件包會下載一個(gè)惡意依賴項(xiàng)（例如 “bjs - lint - builder”），最終安裝竊取程序。

“Graphalgo” 利用虛假公司植入遠(yuǎn)程訪問木馬

這一發(fā)展意義重大，因?yàn)樵撏{行為者還同時(shí)與另一個(gè)正在進(jìn)行的名為 “graphalgo” 的活動相關(guān)聯(lián)。在這個(gè)活動中，攻擊者利用虛假公司，通過虛假的工作面試和編碼測試，誘使開發(fā)者將惡意 npm 軟件包下載到他們的系統(tǒng)中。

該活動的過程如下：黑客在求職平臺和社交網(wǎng)絡(luò)上使用社會工程策略，誘使?jié)撛谀繕?biāo)下載托管在 GitHub 上的項(xiàng)目作為評估的一部分。這些項(xiàng)目反過來包含對發(fā)布在 npm 或 PyPI 上的惡意軟件包的依賴項(xiàng)，其主要目標(biāo)是在機(jī)器上部署遠(yuǎn)程訪問木馬（RAT）。

為了實(shí)施攻擊，攻擊者建立了一個(gè)虛假公司網(wǎng)絡(luò)，并在 GitHub、領(lǐng)英（LinkedIn）和 X 等平臺上創(chuàng)建令人信服的資料，以賦予其合法性的表象，使欺騙更具說服力。以 “Blocmerce” 為例，攻擊者甚至在 2025 年 8 月在美國佛羅里達(dá)州以相同名稱實(shí)際注冊了一家有限責(zé)任公司（LLC）。用于前端網(wǎng)絡(luò)釣魚的一些公司名稱如下：

• Veltrix Capital

• Blockmerce

• Bridgers Finance

ReversingLabs 安全研究員卡洛?贊基（Karlo Zanki）表示：“這些組織鏈接到幾個(gè)與區(qū)塊鏈公司相關(guān)的 GitHub 組織，這些組織自 2025 年 6 月以來一直在 GitHub 上活躍。它們的目的是為虛假的工作機(jī)會提供可信度，并托管虛假的工作面試任務(wù)。”

最近的活動版本還采用了一種不同的技術(shù)來托管惡意依賴項(xiàng)。它們不是發(fā)布到 npm 或 PyPI 上，而是作為發(fā)布工件托管在 GitHub 存儲庫中，這可能是為了盡量降低被檢測到的風(fēng)險(xiǎn)。

ReversingLabs 指出：“對惡意依賴項(xiàng)的引用深埋在傳遞依賴項(xiàng)列表中。package - lock.json 文件中的 resolved 字段指示軟件包管理器從何處獲取特定的軟件包依賴項(xiàng)。雖然所有其他依賴項(xiàng)都從官方 npm 注冊表中獲取，但惡意依賴項(xiàng)直接從精心制作的 GitHub 存儲庫中的發(fā)布工件獲取。”

以下是 npm 軟件包列表：

• graph - dynamic

• graphbase - js

• graphlib - js

攻擊的最終結(jié)果是部署一個(gè)遠(yuǎn)程訪問木馬，它可以收集系統(tǒng)信息、枚舉文件和目錄、列出正在運(yùn)行的進(jìn)程、創(chuàng)建文件夾、重命名文件、刪除文件以及上傳 / 下載文件。

最近幾周，一個(gè)被追蹤為 UNC1069 的朝鮮國家支持的威脅集群也與最流行的 npm 軟件包之一 “axios” 的泄露事件有關(guān)，這凸顯了來自平壤的攻擊者對開源存儲庫持續(xù)構(gòu)成的威脅。

自那以后，此次泄露事件背后的攻擊者發(fā)布了一個(gè)名為 “csec - crypto - utils” 的新 npm 軟件包，其中包含一個(gè) “更新的有效載荷”，將遠(yuǎn)程訪問木馬下載器替換為一個(gè)數(shù)據(jù)竊取程序，該程序?qū)?AWS 密鑰、GitHub 令牌和.npmrc 配置文件泄露到外部服務(wù)器（“csec - c2 - server.onrender [.] com”）。

Hunt.io 在詳細(xì)說明供應(yīng)鏈泄露事件的報(bào)告中，將此次攻擊與 Lazarus Group 的一個(gè)子集群 “BlueNoroff” 聯(lián)系起來，理由是基礎(chǔ)設(shè)施重疊以及該遠(yuǎn)程訪問木馬與 “NukeSped” 相似。

ReversingLabs 表示：“威脅行為者使用先進(jìn)的技術(shù)和策略，以及驚人的攻擊活動準(zhǔn)備程度（設(shè)立佛羅里達(dá)有限責(zé)任公司）和適應(yīng)能力，使朝鮮威脅行為者成為專注于加密貨幣的組織或個(gè)體開發(fā)者面臨的首要威脅。”

安全圈

網(wǎng)羅圈內(nèi)熱點(diǎn) 專注網(wǎng)絡(luò)安全

實(shí)時(shí)資訊一手掌握！

好看你就分享 有用就點(diǎn)個(gè)贊

支持「安全圈」就點(diǎn)個(gè)三連吧！