Lazarus Group东山再起：npm软件存储库遭恶意代码植入攻击

首页 > 安全钻研 > 安全传递 > 安全简讯

Lazarus Group东山再起：npm软件存储库遭恶意代码植入攻击

颁布功夫 2025-03-12

1. Lazarus Group东山再起：npm软件存储库遭恶意代码植入攻击

3月12日，臭名远扬的Lazarus Group黑客组织再次活跃，这次他们将恶意代码植入全球开发人员依赖的npm软件存储库。。�！！pm作为JavaScript代码的大型在线库，被开发人员宽泛用于获取预先构建的软件片段。。�！！azarus Group利用“域名抢注”技术，创建了与合法软件包名称类似的虚伪软件包，并设置了虚伪的GitHub页面以增长可信度。。�！！Ｕ庑┬槲比砑驯幌略厥俅�，旨在渗入开发人员的推算机，窃取登录信息、、、加密钱币信息，并装置后门以供持久接见。。�！！Ｏ叭竞�，恶意软件会执行多项恶意活动，蕴含网络系统具体信息、、、提取浏览器中的登录痛处、、、窃取加密钱币钱包，并装置其他恶意软件以维持对受习染系统的持续接见。。�！！４耸挛癫唤鲇跋煨∥铱⒄�，还可能让整个组织面对风险。。�！！９倘籊itHub已删除所有恶意软件包，但Lazarus Group可能仍在运营其他恶意软件。。�！！Ｒ蚨�，开发人员和组织应采取自动的安全措施，如验证软件包起源、、、使用安全工具检测恶意依赖项、、、执行多层安全性、、、定期扫描第三方软件包中的缝隙，并教育团队鉴别可疑的软件包名称，以减轻供给链攻击带来的风险。。�！！�

https://hackread.com/lazarus-group-backdoor-fake-npm-packages-attack/

2. MassJacker剪贴板劫持操作：窃取加密钱币的新威胁

3月11日，新发现的剪贴板劫持操作“MassJacker”已窃取大量数字资产，利用至少778,531个加密钱币钱包地址从受习染推算机中转移资金。。�！！yberArk发现，与该操作有关的钱包在分析时蕴含约95,300美元，但汗青买卖金额更大，其中一个Solana钱包作为中央收款中心，已累计实现超过30万美元的买卖。。�！！yberArk疑惑该操作由特定威胁组织提议，但也可能选取恶意软件即服务模式，由中央治理员向网络犯罪分子销售接见权限。。�！！assJacker使用剪贴板劫持恶意软件（clippers），监督Windows剪贴板中复制的加密钱币钱包地址，并将其代替为攻击者节制的地址，使受害者在不知情的情况下将资金转给攻击者。。�！！８貌僮魍ü泄艿涟嫒砑投褚馊砑耐緋esktop[.]com分发，利用一系列复杂的剧本和加载器，最终将MassJacker注入合法的Windows过程中。。�！！yberArk呼吁网络安全钻研界关注此类大型加密劫持行动，以获取威胁行为者的身份信息。。�！！�

https://www.bleepingcomputer.com/news/security/massjacker-malware-uses-778-000-wallets-to-steal-cryptocurrency/

3. 虚伪伊隆·马斯克代言节能设备短信圈套揭秘

3月11日，近期，美国小我频仍收到利用伊隆·马斯克名义进行虚伪宣传的短信，旨在销售所谓的节能设备。。�！！itdefender安全钻研人员告发了这一圈套，指出诳骗者通过发送个性化短信，诱骗收件人点击恶意网站链接。。�！！Ｕ庑┒绦判颇艽蠓档偷绶�，甚至引用虚伪的马斯克引言，宣传一种被谎称为马斯克发现的小型节能设备。。�！！Ｕ庑┪痹斓奈恼率褂昧钊苏鄯乃祷昂图际醮氪�，以创制合法性的假象，并蕴含伪造的图片以进一步糊弄潜在受害者。。�！！６绦呕疃加�1月份，已发送数千条新闻，多个域名仍处于活动状态。。�！！itdefender忠告称，这些域名可能在将来活动中被反复使用，建议小我警惕此类未经要求的短信，直接向能源供给商核实任何能源折扣申明，并向电话运营商和本地当局汇报可疑信息。。�！！Ｍ�，也提醒公家把稳esavrrcom、、、gimelovecom和eaeloncom等域名可能存在的风险。。�！！�

https://hackread.com/sms-scam-elon-musks-sell-fake-energy-devices-usa/

4. Ballista僵尸网络对准未修补的TP-Link Archer路由器

3月11日，Cato CTRL团队最新发现，未修补的TP-Link Archer AX-21路由器因存在高严重性安全缝隙CVE-2023-1389，已成为新僵尸网络Ballista的攻击指标。。�！！８梅煜蹲�2023年4月起被利用，最初用于投放Mirai僵尸网络恶意软件，随后也被用于传布其他恶意软件。。�！！allista活动于2025年1月10日被Cato CTRL检测到，最近一次利用尝试在2月17日。。�！！８媒┦缋枚褚馊砑斗牌骱蛃hell剧本获取并执行指标系统上的主二进制文件，成立加密的号令和节制通道，执行RCE和DoS攻击，并尝试读取敏感文件。。�！！allista支持多种号令，蕴含洪水攻击、、、启动�？？�、、、终场�？？�、、、运行Linux shell号令和终止服务等。。�！！６褚馊砑莆募械腃2 IP地址和意大利语字符串批注有未知意大利威胁行为者参加。。�！！Ｈ欢�，该恶意软件正在积极开发中，已出现使用TOR网络域的新投放器变种。。�！！Ｄ壳�，超过6000台设备受到Ballista习染，重要集中在巴西、、、波兰、、、英国、、、保加利亚和土耳其等国，指标为美国、、、澳大利亚、、、中国和墨西哥的制作业、、、医疗/保健、、、服务业和技术组织。。�！！Ｖ还苡肫渌┦缬欣嗨浦�，Ballista仍有其独个性。。�！！�

https://thehackernews.com/2025/03/ballista-botnet-exploits-unpatched-tp.html

5. CISA忠告：Ivanti EPM设备缝隙威胁联邦机构网络安全

3月11日，CISA忠告美国联邦机构把稳�；；；て渫�，防备针对Ivanti Endpoint Manager (EPM) 设备的三个严重缝隙（CVE-2024-13159、、、CVE-2024-13160和CVE-2024-13161）的攻击。。�！！vanti与全球7000多家组织合作，为40000多家公司提供系统和IT资产治理解决规划。。�！！Ｕ庑┓煜队删怎杈侗槔醯阍斐�，可使远程未经身份验证的攻击者齐全粉碎易受攻击的服务器。。�！！Ｕ庑┓煜队谌ツ�10月被汇报，并于今年1月13日被Ivanti修复。。�！！Ｈ欢�，仅一个多月后，Horizon3.ai颁布了概念验证缝隙，可用于中继攻击，胁迫Ivanti EPM机械凭证。。�！！ISA已将这些缝隙增长到其已知被利用缝隙目录中，联邦民事行政部门机构需在三周内�；；；て湎低趁馐芄セ�。。�！！ISA强烈督促所有组织实时修复目录缝隙，以削减遭逢网络攻击的风险。。�！！Ｗ�2025岁首以来，有间谍行为者已利用Ivanti缝隙进行攻击。。�！！�

https://www.bleepingcomputer.com/news/security/cisa-tags-critical-ivanti-epm-flaws-as-actively-exploited-in-attacks/

6. 巴黎索邦大学遭人为智能开发的Funksec勒索软件攻击

3月10日，Funksec勒索软件组织以其部署的据称是首个选取天生式人为智能（GenAI）的勒索软件而闻名，最近该组织宣称攻破了汗青悠久的巴黎索邦大学，并在其暗网泄露网站上颁布了据称从该校服务器窃取的20GB文件的信息，赐与学堂官员约莫12天功夫支付未公开的赎金。。�！！Ｋ靼畲笱且凰加�55,000名学生和数千名钻研及行政人员的公立大学，此前也曾遭逢过重大黑客攻击。。�！！unksec自2024年11月公开出现以来，一向在加大攻击次数，重要针对美国、、、印度、、、西班牙和蒙古确当局和国防、、、技术、、、金融和教育领域。。�！！８米橹褂萌宋悄芸⒗账魅砑�，被列为从前周围内最活跃的五大勒索软件组织之一。。�！！４送�，Funksec还成立了一个蕴含拍卖网站、、、市场和会商论坛在内的齐全生态系统，致力于让这个市场成为Tor网络中最好的。。�！！�

https://cybernews.com/news/sorbonne-university-paris-claim-funksec-ai-ransomware-attack/

7*24小时服务热线

400-624-3900

+86(10)56631988(港澳专线)

官方微信

官方微博

网御星云合众数据书生电子云子可信

司法申明

OG东方厅

网络安全防护

网络安全检测

利用安全

数据安全

安全治理

云安全

工控安全

移动及终端安全

密码利用安全

大模型利用安全

专业安全服务

安全运营中心

知白学院

威胁谍报中心

安全传递

钻研汇报

安全团队

渠道系统

售后服务

升级布告

软件升级

公司概况

新闻动态

技术专题

人才招聘

投资者关系

资源中心

联系OG东方厅

安全钻研