朝鲜升级供应链恶意软件 XORIndex，再次瞄准 npm 生态系统

Socket威胁研究团队最新披露，朝鲜次瞄朝鲜国家支持的升级生态黑客组织在"传染性面试"攻击活动中采用了新型恶意软件加载器XORIndex，该恶意程序专门通过npm软件包注册表渗透软件供应链
。链恶

此次攻击并非孤立事件，意软而是再准针对开发者、建站模板求职者以及持有加密货币资产或敏感凭证人员的系统持续性攻击行动。2025年6月至7月期间 ，朝鲜次瞄攻击者向npm注册表上传了67个恶意软件包  ，升级生态其中28个携带XORIndex加载器。链恶截至报告发布时，源码库意软仍有27个恶意包处于活跃状态，再准这些软件包累计下载量已超过1.7万次。系统

该恶意软件因其采用XOR编码字符串和基于索引的朝鲜次瞄混淆技术而得名，其攻击流程分为四个阶段 ：

(1) 收集主机元数据（主机名、升级生态用户名、亿华云链恶IP地址、地理位置）

(2) 通过硬编码C2服务器传输数据 ，包括 ：

(3) 使用eval()执行攻击者提供的JavaScript有效载荷

(4) 加载BeaverTail等第二阶段恶意程序，进而获取已知后门程序InvisibleFerret

BeaverTail恶意软件会系统扫描以下目标 ：

收集的免费模板数据被压缩为ZIP文件上传至http://144[.]217[.]86[.]88/uploads，同时还会在内存中加载执行第三阶段恶意程序InvisibleFerret 。

研究报告详细揭示了XORIndex从基础原型到成熟恶意软件的演变过程：

此次攻击活动展现出朝鲜网络攻击行动的日趋成熟 ，其特征包括：

安全专家建议开发者和开源社区保持高度警惕，特别防范通过软件供应链渗透和针对特定人群的模板下载定向攻击
。

最新评论