数据观澜数据库
快捷导航
您的位置:首页>电脑教程>>恶意 npm 与 VS Code 包窃取数据及加密货币资产 >

恶意 npm 与 VS Code 包窃取数据及加密货币资产

  发布时间:2025-12-07 20:10:47   作者:玩站小弟   我要评论
60个npm包窃取系统敏感信息安全研究人员在npm软件包注册表中发现60个恶意组件,这些组件能够收集主机名、IP地址、DNS服务器和用户目录信息,并将其发送至Discord平台控制的终端节点。据Soc 。
60个npm包窃取系统敏感信息

安全研究人员在npm软件包注册表中发现60个恶意组件 ,恶意这些组件能够收集主机名 、包币资IP地址、数据DNS服务器和用户目录信息 ,及加并将其发送至Discord平台控制的密货终端节点。据Socket安全研究员Kirill Boychenko上周发布的恶意报告显示,这些由三个不同账户发布的包币资软件包均携带安装时脚本,会在npm install命令执行时触发 。数据这些恶意库已被累计下载超过3000次 。及加

"该脚本针对Windows、密货macOS和Linux系统,恶意包含基本的包币资沙盒逃逸检测功能 ,使得每台被感染的模板下载数据工作站或持续集成节点都可能成为有价值的侦察数据来源,"这家软件供应链安全公司指出  。及加三个发布账户(每个账户在11天内发布了20个包)分别为:

bbbb335656cdsfdfafd1232436437sdsds656565

(上述账户现已被npm平台移除)

高级指纹收集与规避技术

Socket分析表明 ,密货恶意代码专门设计用于对安装该包的每台机器进行指纹识别 ,同时会在检测到亚马逊、谷歌等虚拟化环境时中止执行  。收集的主机详情、系统DNS服务器 、网卡(NIC)信息及内外网IP地址等数据,最终会传输至Discord的Webhook接口 。

"通过收集内外网IP地址、DNS服务器、源码库用户名和项目路径,攻击者能够绘制网络拓扑图,为后续攻击行动识别高价值目标 ,"Boychenko解释道 。

伪装成流行框架的破坏性组件

此次披露还涉及另外8个npm包 ,它们伪装成React、Vue.js、Vite、Node.js等流行JavaScript框架及开源Quill编辑器的辅助库,安装后却会部署破坏性负载。这些已被下载6200余次的恶意包目前仍可从仓库获取:

vite-plugin-vue-extendquill-image-downloaderjs-hoodjs-bombvue-plugin-bombvite-plugin-bombvite-plugin-bomb-extendvite-plugin-react-extend

"这些包伪装成合法插件和工具,暗中携带旨在破坏数据  、删除关键文件并使系统崩溃的建站模板恶意负载,长期未被发现,"Socket研究员Kush Pandya表示 。部分恶意包会在开发者调用时自动执行,递归删除与Vue.js 、React和Vite相关的文件,其他则专门破坏基础JavaScript方法或篡改localStorage、sessionStorage和cookies等浏览器存储机制。

其中js-bomb包不仅会删除Vue.js框架文件,还会根据执行时的系统时间触发关机操作 。经溯源,这些活动与名为xuxingfeng的威胁行为者有关 ,该攻击者同时发布了5个功能正常的云计算合法包。"这种同时发布有害和有益软件包的双重策略 ,营造出合法表象 ,使恶意包更容易获得信任并被安装 ,"Pandya补充道 。

钓鱼攻击与npm包的组合利用

近期还发现一种新型攻击活动 ,将传统电子邮件钓鱼与伪装成良性开源库的恶意npm包中的JavaScript代码相结合 。Fortra研究员Israel Cerda指出 :"建立通信后 ,该包会加载并交付第二阶段脚本,使用受害者电子邮件地址定制钓鱼链接,将其引导至伪造的Office 365登录页面以窃取凭证 。免费模板"

攻击始于包含恶意.HTM文件的钓鱼邮件,其中含有托管在jsDelivr上的加密JavaScript代码  ,关联一个名为citiycar8(现已被移除)的npm包。安装后 ,包内嵌的JavaScript负载会启动URL重定向链,最终将用户导向伪造的登录页面。

"这次钓鱼攻击展现出高度复杂性 ,攻击者将AES加密、通过CDN分发的npm包以及多重重定向等技术串联  ,掩盖其恶意意图 ,源码下载"Cerda强调。

VS Code扩展窃取加密货币凭证

开源仓库的滥用已成为大规模供应链攻击的惯用手法 。近期 ,微软VS Code应用商店中也发现针对Windows平台Solidity开发者的恶意扩展程序 ,专门窃取加密货币钱包凭证 。Datadog安全研究团队将此次活动归因于代号MUT-9332的威胁行为者,涉及的扩展包括 :

solaibotamong-ethblankebesxstnion

"这些扩展伪装成合法工具,将恶意代码隐藏在真实功能中 ,使用的命令控制域名与Solidity相关,通常不会被标记为恶意,"Datadog研究人员表示 。所有三个扩展都采用复杂的感染链 ,包含多阶段混淆恶意软件,其中一个甚至将负载隐藏在Internet Archive托管的图片文件中。

这些扩展宣称能为Solidity开发者提供语法扫描和漏洞检测功能  ,实际却会窃取Windows系统上的加密货币钱包凭证。其最终目的是植入基于Chromium的恶意浏览器扩展 ,劫掠以太坊钱包并泄露至命令控制(C2)服务器 。

该恶意软件还能安装独立可执行程序  ,用于捕获键盘输入并扫描Discord、Chromium浏览器、加密货币钱包及Electron应用的数据目录 。MUT-9332还被认定是近期10个恶意VS Code扩展活动的幕后黑手,这些扩展伪装成编程或人工智能工具安装XMRig加密货币挖矿程序。

"此活动展现出MUT-9332在隐藏恶意意图方面令人惊讶的创造力,"Datadog警告称  ,"这些负载更新表明攻击可能会持续 ,首批恶意VS Code扩展的检测和下架可能促使MUT-9332在后续行动中改变策略。"

  • Tag:

相关文章

  • 网络安全知识之了解Web 浏览器

    网络浏览器是如何工作的?Web浏览器是一种查找和显示网页的应用程序,协调我们的计算机和特定网站“所在”的网络服务器之间的通信。当打开浏览器并输入网站的网址(URL)时,浏览器会向提供该页面内容的一个或
    2025-12-07

  • win10系统镜像文件多大

    最近有小伙伴想下载一个win10镜像文件,但是自己电脑的内存又不是特别的足,所以想问问一般win10镜像是多大的,其实这个大小是不固定的,一般都是2到4G左右都有,具体的介绍下面一起来看看吧。win1
    2025-12-07

  • Win10专注助手自动打开的解决方法

    win10系统电脑是大家非常喜欢的一款操作软件,目前使用该操作系统的小伙伴是非常多的,我们常常在该系统电脑中遇到一些相关的问题,在win10系统电脑中有一个专注助手功能,该功能类似于手机的免打扰模式,
    2025-12-07

  • windows1019536更新了什么

    据小编的最新消息,微软公司在2019年12月17日再一次对win10版本系统进行了面向慢速通道和快速通道进行了更新。此次更新版本号为win1015936。这一次依旧是修改了之前版本出现的问题了bug,
    2025-12-07

  • 黑客可以迫使iOS和macOS浏览器泄露密码及更多的大量信息

    研究人员已设计出了一种攻击方法,可以利用现代iOS和macOS设备搭载的A系列和M系列CPU中的侧信道漏洞,迫使苹果的Safari浏览器泄露密码、Gmail邮件内容及其他秘密信息。学术研究人员将这种攻
    2025-12-07

  • win10怎么恢复修改msconfig设置后的重启提示

    win10怎么恢复修改msconfig设置后的重启提示是一个不常用的功能,但是有部分需要修改的用户可能不太清楚怎么设置。下面来看看详细的设置教程吧。win10怎么恢复修改msconfig设置后的重启提
    2025-12-07

最新评论