Lazarus组织再次入侵npm生态系统发动网络攻击——每周威胁情报动态第216期 （03.14-03.20）

Lazarus组织再次入侵npm生态系统发动网络攻击

近日Socket研究人员发现，朝鲜Lazarus组织被发现再次对npm生态系统发动攻击，部署了六个新的恶意软件包，旨在入侵开发人员环境、窃取凭证、提取加密货币数据并部署后门。此次攻击活动中，这些恶意软件包中嵌入了“BeaverTail”恶意软件，且这些软件包的名称与之前Lazarus组织（在“Contagious Interview”行动中）使用的战术极为相似。这些发现与Socket威胁研究团队2025年1月发布的关于“拉撒路”APT 组织持续进行供应链攻击的报告相一致。

此次攻击中涉及的六个恶意软件包分别为is-buffer-validator、yoojae-validator、event-handle-package、array-empty-validator、react-event-dependency和auth-validator，它们的名称都与广泛受信任的库极为相似，这是Lazarus组织惯用的“拼写错误抢注”（typosquatting）策略，目的是欺骗开发人员。此外，该组织还为其中五个恶意软件包创建并维护了GitHub仓库，以增加其代码被开发人员集成到工作流程中的可能性。截至本新闻稿发布时，这些软件包仍在npm注册表上，且已被下载超过330次。Socket已经请求将其移除，并报告了相关的GitHub仓库和用户账户。

尽管将此次攻击明确归因于Lazarus组织或是一个高超的模仿者存在一定的挑战，因为绝对归因本身就很难，但此次npm攻击中观察到的战术、技术与程序（TTP）与Lazarus已知的行动高度一致。自2022年以来，Unit42、eSentire、DataDog、Phylum等众多研究人员都对Lazarus组织的行动进行了广泛记录。此次攻击活动展现了Lazarus部署恶意软件包的诸多标志性手法，包括使用与之前Lazarus活动中相同的混淆技术与工具、针对Windows、macOS和Linux系统的跨平台攻击、部署“BeaverTail”恶意软件以及第二阶段的“InvisibleFerret”后门、脚本功能与结构以及恶意意图与过去的Lazarus行动极为相似、使用与此次行动相关的特定新端点的相同模式的命令与控制（C2）机制、与Lazarus以往供应链攻击一致的数据盗窃策略以及与之前的Lazarus活动一致的持久化机制，进一步强化了其参与的可能性。

这些恶意软件包的代码采用了Lazarus组织之前活动中观察到的混淆技术，通过自调用函数、动态函数构造器和数组移位来掩盖其真实功能。尽管有这些隐藏层，但恶意软件的目标与之前记录的Lazarus行动一致，一贯利用多阶段有效载荷交付和持久化机制以长期访问受感染系统。代码旨在收集系统环境详细信息，包括主机名、操作系统和系统目录，并系统地遍历浏览器配置文件以定位和提取敏感文件，如 Chrome、Brave和Firefox的“Login Data”以及macOS上的keychain归档文件。值得注意的是，恶意软件还针对加密货币钱包，特别是提取Solana的“id.json”和Exodus的“exodus.wallet”。然后，被盗数据被传输到硬编码的C2服务器“hxxp://172.86.84[.]38:1224/uploads”，遵循“拉撒路”记录在案的收集和传输受感染信息的策略。

除了上述静默枚举和数据外泄外，脚本还使用“curl”命令和 Node.js“request”模块下载额外的恶意组件——具体被识别为“InvisibleFerret”后门。次级有效载荷（SHA256：“6a104f07ab6c5711b6bc8bf6ff956ab8cd597a388002a966e980c5ec9678b5b0”）以“p.zi”或“p2.zip”为文件名下载，并使用“tar -xf”解压，遵循与之前Lazarus活动中分发“BeaverTail”恶意软件一致的多阶段部署策略。通过这些阶段，Lazarus始终优先考虑持久性和隐蔽性。脚本的目标不仅仅是窃取凭证，还寻求嵌入开发工作流程中，确保即使一个阶段被检测到并移除，也能保持持续入侵。

展望未来，Lazarus和其他高级对手可能会继续完善其渗透战术。混淆技术可能会演变，采用更复杂的代码隐藏方法，并更深入地整合到合法的开发工作流程中。威胁行为者也可能会扩大其针对的软件包和生态系统范围，以扩大其在开发人员中的影响力，使早期检测和上下文依赖扫描比以往任何时候都更为关键。

参考链接：

https://socket.dev/blog/lazarus-strikes-npm-again-with-a-new-wave-of-malicious-packages

绿斑攻击组织利用开源远控木马入侵国内特定行业目标

国内网络安全厂商安天CERT发布报告称2024年下半年，台湾“绿斑”攻击组织针对我国特定行业目标发动了一系列精心策划的高级持续性威胁（APT）攻击活动。该组织通过鱼叉式钓鱼邮件诱导目标单位人员点击链接，访问伪装成某单位的恶意网站。这些网站在加载完毕后会自动跳转，开始下载伪装成 PDF 图标的诱饵下载器程序。该程序实则为经过混淆处理的C#程序，文件名以领导发言、个人身份证件信息等为主题，诱导目标点击执行。下载器负责获取和解密伪装成视频后缀的恶意载荷，并在内存中运行。

经过解密解压缩流程后，载荷被植入系统。此次攻击中观察到的载荷主要是开源远控木马Sliver，它具备跨平台支持、多种C2通信方式、动态代码生成、多种Payload、脚本化、内存执行以及丰富的后渗透功能，如进程迁移、文件窃取、进程注入等。攻击者利用这些功能对目标系统进行长期控制和窃密活动。

从攻击活动的整体流程来看，攻击者首先通过搜集目标的身份、网络和组织信息，获取基础设施，开发恶意网站、诱饵程序和远控平台及载荷，并注册用于发送钓鱼邮件的发件账号。随后，通过鱼叉式钓鱼邮件发起攻击，诱导用户点击诱饵程序，开始木马执行流程。载荷具备反调试能力，可测探内网远程系统、扫描网络服务、查询系统信息等，最终通过固定C2信道回传数据，操纵受害主机数据。整个攻击活动涉及ATT&CK框架10阶段的25个技术点，包括侦察、资源开发、初始访问、执行、防御规避、发现、收集、命令与控制、数据渗出和影响等阶段。

面对此类攻击，相关单位需构建终端安全基石，加强防护能力，依托邮件安全、网络流量监测、终端防护、XDR联动分析、网关封堵等构成防御层次，特别是使用带有有效杀毒和主防能力与较强反钓鱼功能的终端安全防护软件。同时，鉴于攻击的社工特点和攻击粘性，提高安全意识也是防范的重要环节，需加强对员工的安全培训，提高其对可疑邮件和链接的警惕性，避免因误操作而导致系统被入侵。

此次攻击活动再次凸显了台湾“绿斑”攻击组织的威胁性。该组织具有较强的社工欺骗性和技术能力，攻击手法具有明显的针对性。其对特定行业的目标构建有较强欺骗性的素材，进行鱼叉式钓鱼攻击，载荷经过多重伪装加密，最终实现开源远控框架的木马植入。

参考链接：

https://www.antiy.cn/research/notice&report/research_report/GreenSpot_Analysis_202503.html

黑客组织针对2.3万个GitHub仓库展开供应链攻击活动

近日，全球最大的开源代码托管平台GitHub遭遇了一场规模空前的供应链攻击，约2.3万个仓库被黑客入侵，引发了全球开发者社区的高度警觉。这场攻击不仅对受影响的仓库本身构成威胁，更可能通过这些仓库作为依赖项的下游应用和服务，将恶意代码广泛传播，潜在影响范围难以估量。

GitHub是全球开发者的核心协作平台，拥有超过2亿个仓库和1亿多名开发者。本周，多个热门开源项目报告其代码库中出现了未经授权的提交记录，GitHub随即确认了此次攻击事件。被攻击的仓库中，许多是被广泛使用的开源项目，它们作为依赖项被数百万个应用程序所引用，这使得此次安全事件的潜在影响被急剧放大。

安全研究人员StepSecurity在监测到多个不相关仓库出现可疑提交行为后，迅速识别出了此次攻击模式。攻击者精心挑选了下载量高且被企业应用广泛依赖的仓库作为目标，显然是为了最大化攻击的影响力。

此次攻击的手段极为复杂且隐蔽。黑客通过结合网络钓鱼攻击和利用令牌泄露的方式，成功入侵了仓库维护者的账户。一旦获得访问权限，他们便注入了精心设计的恶意代码片段，这些代码经过混淆处理，使其在常规代码审查中难以被发现。

目前，GitHub 已采取紧急措施，暂时限制了受影响仓库的访问权限，并与维护者合作，撤销恶意更改并实施额外的安全措施。安全专家建议项目维护者立即审计近期的提交记录，特别是那些修改了包配置文件或依赖声明的提交。

参考链接：

https://cybersecuritynews.com/23000-github-repositories-targeted/

美国宾州教育工作者联盟数据出现重大泄露事件

近日，美国宾夕法尼亚州教育工作者联盟（PSEA）遭遇了一起严重的数据泄露事件，超过50万名成员的敏感个人信息被黑客窃取，引发了社会各界的广泛关注。

PSEA是宾夕法尼亚州最大的教育工作者组织，代表了该州的现任和前任教师、辅导员、医疗保健工作者以及学校社工等。据PSEA向缅因州总检察长提交的文件显示，2024年7月，该组织遭受了一次网络攻击。未经授权的攻击者入侵了PSEA的网络系统，窃取了大量数据，涉及超过51.7万名个人的信息。

被盗数据的敏感性极高，数据包括：

成员的政府颁发的身份证明文件

社会安全号码

护照号码

医疗信息以及包含卡号

相关PIN码

有效期的财务信息

此外，成员的账户号码、PIN码、密码和安全代码也在此次数据泄露事件中被访问。尽管PSEA在致受影响成员的信中强调并非每个受影响个体的所有数据元素都被获取，但如此大规模的数据泄露无疑给众多教育工作者带来了巨大的隐私和安全风险。

此外，PSEA在信中提到其“尽可能地采取措施确保被未经授权者获取的数据被删除”，暗示该组织可能遭受了勒索软件或数据勒索攻击，并向黑客支付了赎金。然而，支付赎金并不能保证黑客会删除被盗数据。正如去年LockBit勒索软件团伙被捣毁时发现的证据，即使受害者支付了赎金，黑客仍可能保留其数据。这表明在面对勒索软件攻击时，支付赎金并非解决问题的有效途径，反而可能助长黑客的嚣张气焰。

Trustwave发现假冒验证码恶意软件活动卷土重来

Trustwave SpiderLabs在2025年2月初的一次高级持续威胁狩猎（ACTH）调查中，发现了一种假冒验证码验证的恶意软件活动再次兴起。这种攻击活动通过精心设计的多阶段PowerShell执行流程，最终投放Lumma和Vidar等信息窃取器，对用户设备和数据安全构成严重威胁。

此次攻击活动的起点是用户在访问被入侵或恶意网站时，遭遇了欺骗性的验证码验证。与正常的验证码功能不同，这些假冒验证码并非用于验证用户身份，而是诱使用户执行恶意的PowerShell命令。这一过程巧妙地利用了用户对验证码的熟悉和信任，使其在不知不觉中触发了恶意软件的感染链。

攻击的第一步是通过假冒验证码提示用户执行命令。用户在不知情的情况下，执行了伪装成验证码验证过程一部分的PowerShell命令。该命令随后调用mshta工具，从远程服务器下载并执行一个HTA文件（例如名为RUKE.mp4的文件）。这个 HTA 文件并非普通的视频文件，而是一个精心设计的恶意脚本载体。它在执行后会进一步启动另一个PowerShell脚本，该脚本通过复杂的加密和解密机制，逐步展开多阶段的恶意负载执行。

随着攻击的深入，恶意脚本会解密并执行更多命令，进一步推动感染链的进展。最终，攻击者的目标是部署Lumma和Vidar等信息窃取器，这些恶意软件能够在受感染的系统上窃取用户的敏感信息，如登录凭证、个人数据等，并在系统中保持持久性，以便长期监控和控制受害者设备。

在此次攻击活动中，攻击者利用了多种技术手段来规避检测并实现其恶意目的。首先，通过假冒验证码的方式，攻击者成功地诱导用户执行了初始的恶意命令。这种社会工程学攻击手段利用了用户对正常网站功能的信任，使得攻击能够在用户毫无察觉的情况下启动。

在技术层面，攻击者采用了多阶段的PowerShell脚本执行流程。这种分阶段的攻击方式使得恶意软件能够在不同的阶段逐步展开其功能，增加了攻击的隐蔽性和复杂性。例如，初始的PowerShell命令通过调用mshta来下载并执行远程的HTA文件，而该 HTA 文件又会进一步解密并执行更深层次的PowerShell脚本。这种层层嵌套的执行方式使得攻击者能够在不同的阶段实施不同的恶意行为，如解密、下载、执行等。

此外，攻击者还利用了复杂的加密和解密机制来隐藏其恶意负载。例如，通过简单的减法密码或更复杂的Base64编码和XOR加密，攻击者能够将恶意代码隐藏在看似无害的数据中，从而绕过传统的安全检测机制。在某些情况下，攻击者甚至会动态检索和执行 .NET Marshal类中的方法来解密SecureString数据，进一步增强了攻击的隐蔽性。

在攻击的最终阶段，攻击者通过解码和执行Base64编码的负载，投放了Lumma窃密软件。这种恶意软件不仅能够窃取用户的敏感数据，还会下载额外的信息窃取器，如基于Telegram机器人的HijackLoader，甚至还会投放基于Golang的后门程序，从而进一步扩大攻击的持久性和控制能力。

参考链接：

https://www.trustwave.com/en-us/resources/blogs/spiderlabs-blog/resurgence-of-a-fake-captcha-malware-campaign/

Trustwave SpiderLabs发现假冒验证码恶意软件活动卷土重来

Trustwave SpiderLabs在2025年2月初的一次高级持续威胁狩猎（ACTH）调查中，发现了一种假冒验证码验证的恶意软件活动死灰复燃。该活动通过多阶段的PowerShell执行过程，最终投放Lumma和Vidar等信息窃取器，对用户的隐私和安全构成了严重威胁。

此次攻击的起点是用户在被入侵或恶意网站上遇到欺骗性的验证码验证。与正常的验证码功能不同，这种假冒的验证码并非用于验证用户身份，而是诱使用户执行恶意的PowerShell命令。当用户在不知情的情况下执行了这些命令后，攻击者便能够通过一系列复杂的步骤，逐步渗透用户的系统。

首先，用户被诱骗执行一个PowerShell命令，该命令伪装成验证码验证的一部分。然而，这一步实际上是攻击的开端。该命令会调用mshta，这是一个用于执行HTML应用程序（HTA）文件的工具。通过这种方式，攻击者能够绕过一些基本的安全限制，将恶意HTA文件下载到用户的设备上，并将其执行。

接下来，HTA文件（如 RUKE.mp4）会被执行。这个文件并非普通的视频文件，而是一个精心设计的恶意脚本容器。它会启动另一个PowerShell脚本，进一步推动攻击的进展。这个脚本的作用是解密更多的命令，从而进入多阶段PowerShell脚本执行的阶段。

在这一阶段，攻击者使用了一种巧妙的加密技术来隐藏他们的恶意意图。通过Python脚本，攻击者对加密数据进行解密。解密过程使用了一种简单的减法密码，将BSMz数组中的每个数值减去634，从而揭示出原始的字符。这种加密和解密的方法使得攻击者能够在不被轻易发现的情况下，将恶意代码隐藏在看似无害的数据中。

随着攻击的深入，解密后的PowerShell命令会继续执行。这些命令经过Base64解码后，揭示出更多层的PowerShell代码。这些代码负责执行更多的命令，或者下载更多的负载，进一步推动攻击的进展。在这一过程中，攻击者还利用了.NET Marshal类的方法来解密SecureString数据，这是一种更为复杂的加密技术，使得攻击代码更加难以被检测和分析。

最终，攻击者通过这些复杂的步骤，成功地将Lumma和Vidar等信息窃取器部署到用户的系统中。这些信息窃取器能够窃取用户的敏感信息，如登录凭证、个人数据等，并将其发送给攻击者。此外，这些信息窃取器还具备持久性功能，能够在用户的系统中长期存在，持续窃取数据。

在对此次攻击的技术分析中，Trustwave SpiderLabs的研究人员发现了一些关键的技术细节。首先，攻击者在PowerShell脚本中使用了复杂的加密和解密技术。例如，他们使用了XOR密钥来对数据进行加密和解密。这种技术使得攻击代码在传输过程中看起来像是一串无意义的数字，但实际上隐藏着恶意的指令。研究人员通过分析和解密这些数据，揭示了攻击者的真实意图。

此外，攻击者还利用了PowerShell脚本的灵活性和强大的功能，通过多阶段的执行过程，逐步渗透用户的系统。这种多阶段的攻击方式使得攻击者能够在不被轻易发现的情况下，逐步扩大他们的攻击范围。例如，他们首先通过一个简单的PowerShell命令启动攻击，然后通过解密更多的命令和下载更多的负载，逐步深入用户的系统。

在攻击的最后阶段，攻击者部署了Lumma和Vidar等信息窃取器。这些信息窃取器不仅能够窃取用户的敏感信息，还能够下载更多的恶意软件，进一步扩大攻击的范围。例如，研究人员发现Lumma Stealer不仅能够窃取数据，还能够下载基于Telegram机器人的HijackLoader，以及一个基于Golang的后门。这些恶意软件进一步增强了攻击者的控制能力，使得他们能够在用户的系统中长期存在。

参考链接：

https://www.trustwave.com/en-us/resources/blogs/spiderlabs-blog/resurgence-of-a-fake-captcha-malware-campaign/

SocGholish攻击活动助力RansomHub勒索软件传播

近日，Trend Micro研究团队发现了一个复杂的网络攻击活动——SocGholish，其入侵技术正在助力RansomHub勒索软件的传播。这一攻击活动通过多阶段的精心策划，从入侵合法网站开始，逐步深入受害者系统，最终导致勒索软件的部署，对全球企业和组织构成了严重威胁。

SocGholish攻击活动最早于2018年被发现，其核心是一个高度复杂的恶意软件即服务（MaaS）框架，主要通过入侵合法网站并注入恶意脚本，劫持用户流量，将用户重定向到伪装成浏览器更新通知的欺诈页面。通过社会工程学手段，用户被诱导下载并执行一个恶意ZIP文件，其中包含SocGholish的JavaScript加载器。该加载器利用多种混淆和规避技术，成功绕过了传统的检测方法，使得攻击能够在用户毫无察觉的情况下悄然展开。

攻击的核心目标是为RansomHub勒索软件即服务（RaaS）的附属机构提供初始访问权限，进而导致勒索软件的部署。RansomHub是当前最具影响力的勒索软件之一，其攻击活动导致众多组织的数据泄露和业务中断。SocGholish在这一过程中扮演了关键角色，通过其高度灵活的加载器，攻击者能够下载和执行恶意负载、窃取敏感信息、执行任意命令，并在受感染系统中保持持久化访问，为后续的勒索软件攻击铺平道路。

SocGholish的攻击链涵盖了从初始入侵到勒索软件部署的多个阶段。攻击者首先通过入侵合法网站，注入恶意脚本，劫持用户流量并将其重定向到伪装成浏览器更新通知的欺诈页面。这些页面通过社会工程学手段诱导用户下载一个包含SocGholish JavaScript加载器的恶意ZIP文件。该加载器在执行后，会收集系统信息并发送至其命令与控制（C&C）服务器，同时等待进一步指令。

C&C服务器随后向加载器发送一系列任务，这些任务涵盖了从侦察和发现、凭据窃取到后门部署和数据外泄的全过程。攻击者利用混淆技术隐藏关键字符串和命令，规避安全检测。例如，通过从字符串中提取每第三个字符的方式解混淆MSXML2.XMLHTTP ActiveXObject的相关字符串，从而绕过反恶意软件扫描接口（AMSI）的检测。此外，攻击者还利用Windows脚本宿主（wscript.exe）执行恶意JavaScript文件，进一步收集系统信息并执行后续任务。

在侦察阶段，SocGholish通过执行PowerShell命令、查询活动目录服务接口（ADSI）等方式，收集系统信息、用户账户信息、网络配置等。攻击者还从Microsoft Edge和Google Chrome等浏览器中窃取登录数据，提取加密密钥，并将敏感信息上传至C&C服务器。在后门部署阶段，攻击者下载并安装Python 3.12，创建计划任务以实现持久化，并部署基于Python的后门，为攻击者提供对内部信息资产的代理访问。

最终，攻击者通过SSH部署反向Shell，实现命令与控制和数据窃取。此外，攻击者还利用网络扫描工具（如NIRCMD）收集系统截图等信息，进一步巩固其对受感染系统的控制。

SocGholish是一种高度复杂且难以检测的威胁，其加载器中使用的大量混淆技术给静态文件检测技术带来了挑战。此外，文件无痕执行命令可能会对某些检测技术构成挑战。SocGholish与RansomHub等流行的危险勒索软件即服务（RaaS）合作，使其对企业的威胁显著增加。

参考链接：

https://www.trendmicro.com/en_us/research/25/c/socgholishs-intrusion-techniques-facilitate-distribution-of-rans.html