Lazarus Group卷土重来：npm软件存储库遭恶意代码植入攻击

首页 > 清静研究 > 清静转达 > 清静简讯

Lazarus Group卷土重来：npm软件存储库遭恶意代码植入攻击

宣布时间 2025-03-12

1. Lazarus Group卷土重来：npm软件存储库遭恶意代码植入攻击

3月12日，，，污名昭著的Lazarus Group黑客组织再次活跃，，，这次他们将恶意代码植入全球开发职员依赖的npm软件存储库。。。。npm作为JavaScript代码的大型在线库，，，被开发职员普遍用于获取预先构建的软件片断。。。。Lazarus Group使用“域名抢注”手艺，，，建设了与正当软件包名称相似的虚伪软件包，，，并设置了虚伪的GitHub页面以增添可信度。。。。这些虚伪软件包已被下载数百次，，，旨在渗透开发职员的盘算机，，，窃取登录信息、加密钱币信息，，，并装置后门以供恒久会见。。。。熏染后，，，恶意软件会执行多项恶意活动，，，包括网络系统详细信息、提取浏览器中的登录凭证、窃取加密钱币钱包，，，并装置其他恶意软件以坚持对受熏染系统的一连会见。。。。此事务不但影响小我私家开发者，，，还可能让整个组织面临危害。。。。虽然GitHub已删除所有恶意软件包，，，但Lazarus Group可能仍在运营其他恶意软件。。。。因此，，，开发职员和组织应接纳自动的清静步伐，，，如验证软件包泉源、使用清静工具检测恶意依赖项、实验多层清静性、按期扫描第三方软件包中的误差，，，并教育团队识别可疑的软件包名称，，，以减轻供应链攻击带来的危害。。。。

https://hackread.com/lazarus-group-backdoor-fake-npm-packages-attack/

2. MassJacker剪贴板挟制操作：窃取加密钱币的新威胁

3月11日，，，新发明的剪贴板挟制操作“MassJacker”已窃取大宗数字资产，，，使用至少778,531个加密钱币钱包地点从受熏染盘算机中转移资金。。。。CyberArk发明，，，与该操作相关的钱包在剖析时包括约95,300美元，，，但历史生意金额更大，，，其中一个Solana钱包作为中央收款中心，，，已累计完成凌驾30万美元的生意。。。。CyberArk嫌疑该操作由特定威胁组织提倡，，，但也可能接纳恶意软件即效劳模式，，，由中央治理员向网络犯法分子出售会见权限。。。。MassJacker使用剪贴板挟制恶意软件（clippers），，，监视Windows剪贴板中复制的加密钱币钱包地点，，，并将其替换为攻击者控制的地点，，，使受害者在不知情的情形下将资金转给攻击者。。。。该操作通过托管盗版软件和恶意软件的网站pesktop[.]com分发，，，使用一系列重大的剧本和加载器，，，最终将MassJacker注入正当的Windows历程中。。。。CyberArk呼吁网络清静研究界关注此类大型加密挟制行动，，，以获取威胁行为者的身份信息。。。。

https://www.bleepingcomputer.com/news/security/massjacker-malware-uses-778-000-wallets-to-steal-cryptocurrency/

3. 虚伪伊隆·马斯克代言节能装备短信圈套揭秘

3月11日，，，近期，，，美国小我私家频仍收到使用伊隆·马斯克名义举行虚伪宣传的短信，，，旨在销售所谓的节能装备。。。。Bitdefender清静研究职员揭破了这一圈套，，，指出诈骗者通过发送个性化短信，，，诱骗收件人点击恶意网站链接。。。。这些短信声称能大幅降低电费，，，甚至引用虚伪的马斯克小序，，，宣传一种被谎称为马斯克发明的小型节能装备。。。。这些伪造的文章使用令人信服的语言和手艺语言，，，以创立正当性的假象，，，并包括伪造的图片以进一步诱骗潜在受害者。。。。短信活动始于1月份，，，已发送数千条新闻，，，多个域名仍处于活动状态。。。。Bitdefender忠言称，，，这些域名可能在未来活动中被重复使用，，，建议小我私家小心此类未经请求的短信，，，直接向能源供应商核实任何能源折扣声明，，，并向电话运营商和外地政府报告可疑信息。。。。同时，，，也提醒公众注重esavrrcom、gimelovecom和eaeloncom等域名可能保存的危害。。。。

https://hackread.com/sms-scam-elon-musks-sell-fake-energy-devices-usa/

4. Ballista僵尸网络瞄准未修补的TP-Link Archer路由器

3月11日，，，Cato CTRL团队最新发明，，，未修补的TP-Link Archer AX-21路由器因保存高严重性清静误差CVE-2023-1389，，，已成为新僵尸网络Ballista的攻击目的。。。。该误差自2023年4月起被使用，，，最初用于投放Mirai僵尸网络恶意软件，，，随后也被用于撒播其他恶意软件。。。。Ballista活动于2025年1月10日被Cato CTRL检测到，，，最近一次使用实验在2月17日。。。。该僵尸网络使用恶意软件投放器和shell剧本获取并执行目的系统上的主二进制文件，，，建设加密的下令和控制通道，，，实验RCE和DoS攻击，，，并实验读取敏感文件。。。。Ballista支持多种下令，，，包括洪水攻击、启动�？？？椤⒆柚鼓？？？椤⒃诵蠰inux shell下令和终止效劳等。。。。恶意软件二进制文件中的C2 IP地点和意大利语字符串批注有未知意大利威胁行为者加入。。。。然而，，，该恶意软件正在起劲开发中，，，已泛起使用TOR网络域的新投放器变种。。。。现在，，，凌驾6000台装备受到Ballista熏染，，，主要集中在巴西、波兰、英国、保加利亚和土耳其等国，，，目的为美国、澳大利亚、中国和墨西哥的制造业、医疗/保健、效劳业和手艺组织。。。。只管与其他僵尸网络有相似之处，，，Ballista仍有其奇异性。。。。

https://thehackernews.com/2025/03/ballista-botnet-exploits-unpatched-tp.html

5. CISA忠言：Ivanti EPM装备误差威胁联邦机构网络清静

3月11日，，，CISA忠言美国联邦机构注重�；；；；て渫�，，，提防针对Ivanti Endpoint Manager (EPM) 装备的三个严重误差（CVE-2024-13159、CVE-2024-13160和CVE-2024-13161）的攻击。。。。Ivanti与全球7000多家组织相助，，，为40000多家公司提供系统和IT资产治明确决计划。。。。这些误差由绝对路径遍历弱点造成，，，可使远程未经身份验证的攻击者完全破损易受攻击的效劳器。。。。这些误差于去年10月被报告，，，并于今年1月13日被Ivanti修复。。。。然而，，，仅一个多月后，，，Horizon3.ai宣布了看法验证误差，，，可用于中继攻击，，，胁迫Ivanti EPM机械凭证。。。。CISA已将这些误差添加到其已知被使用误差目录中，，，联邦民事行政部分机构需在三周内�；；；；て湎低趁馐芄セ�。。。。CISA强烈鞭策所有组织实时修复目录误差，，，以镌汰遭受网络攻击的危害。。。。自2025年头以来，，，有特工行为者已使用Ivanti误差举行攻击。。。。

https://www.bleepingcomputer.com/news/security/cisa-tags-critical-ivanti-epm-flaws-as-actively-exploited-in-attacks/

6. 巴黎索邦大学遭人工智能开发的Funksec勒索软件攻击

3月10日，，，Funksec勒索软件组织以其安排的据称是首个接纳天生式人工智能（GenAI）的勒索软件而著名，，，最近该组织声称攻破了历史悠久的巴黎索邦大学，，，并在其暗网泄露网站上宣布了据称从该校效劳器窃取的20GB文件的信息，，，给予学校官员约莫12天时间支付未果真的赎金。。。。索邦大学是一所拥有55,000名学生和数千名研究及行政职员的公立大学，，，此前也曾遭受过重大黑客攻击。。。。Funksec自2024年11月果真泛起以来，，，一直在加大攻击次数，，，主要针对美国、印度、西班牙和蒙古的政府和国防、手艺、金融和教育领域。。。。该组织使用人工智能开发勒索软件，，，被列为已往周围内最活跃的五大勒索软件组织之一。。。。别的，，，Funksec还建设了一个包括拍卖网站、市场和讨论论坛在内的完整生态系统，，，致力于让这个市场成为Tor网络中最好的。。。。

https://cybernews.com/news/sorbonne-university-paris-claim-funksec-ai-ransomware-attack/

7*24小时效劳热线

400-624-3900

官方微信

官方微博

执法声明

鉴黑担保网

网络清静防护

网络清静检测

应用清静

数据清静

清静治理

云清静

工控清静

移动及终端清静

密码应用清静

大模子应用清静

专业清静效劳

清静运营中心

知白学院

威胁情报中心

清静团队

售后效劳

公司概况

新闻动态

手艺专题

人才招聘

投资者关系

资源中心

联系鉴黑担保网

清静研究