GoPlus安全团队近日发出警告,发现朝鲜黑客组织“Famous Chollima”向npm官方仓库上传了26个恶意软件包。
这些恶意包均包含一个自动执行的安装脚本(install.js),该脚本会运行隐藏在vendor/scrypt-js/version.js中的恶意代码。
恶意代码的主要行为包括:
- 从指定恶意URL下载并执行远程访问木马(RAT)。
- 窃取键盘输入记录与剪贴板内容。
- 收集浏览器保存的各类登录凭证。
- 扫描并窃取Git仓库、SSH密钥等敏感信息。
- 使用TruffleHog工具扫描系统机密。
此次攻击是典型的软件供应链攻击,旨在通过开发者常用的包管理工具渗透目标系统。
