朝鲜"传染性采访"行动持续升级，npm平台现67个恶意包

首页 > 安全钻研 > 安全传递 > 安全简讯

朝鲜“传染性采访“行动持续升级，npm平台现67个恶意包

颁布功夫 2025-07-16

1. 朝鲜"传染性采访"行动持续升级，npm平台现67个恶意包

7月15日，近期，朝鲜当局支持的"传染性采访"网络攻击行动在开源生态领域持续升级。据软件包安全平台Socket钻研人员披露，威胁行为者向Node.js默认包治理器npm提交了67个假装成合法项主张恶意软件包，总下载量突破17,000次。这次攻击被证实为该组织今年4月以来提议的第二波大规模行动，上月其曾通过35个npm包植入信息窃取法式，凸显出朝鲜黑客对开发者生态的持续性渗入战术。攻击者一连了"虚伪工作机遇"的经典社工手法，通过仿照驰名项目名称（如vite-meta-plugin、postcss-preloader等）诱骗开发者装置恶意包。当受害者执行装置时，包内预设的"postinstall"剧本会触发新型XORIndex加载器。该工具通过网络主机信息并回传至托管于Vercel云平台的号令节造服务器（C2），进而接管蕴含BeaverTail和InvisibleFerret后门的JavaScript载荷。这两个恶意软件家族可实现远程代码执杏注数据泄露及后续载荷投放，形成齐全的攻击链。这次使用的XORIndex加载器与汗青攻击中的HexEval加载器存在技术关联，显示攻击者正通过工具混用和微调实现检测躲避。

https://www.bleepingcomputer.com/news/security/north-korean-xorindex-malware-hidden-in-67-malicious-npm-packages/

2. 新型HazyBeacon后门利用云服务窃取东南亚当局敏感数据

7月15日，东南亚当局机构正成为一场由国度支持型威胁行为者提议的新型网络间谍活动的指标。该攻击集群被帕洛阿尔托网络公司Unit 42团队定名为CL-STA-1020，其主题工具为未被纪录的Windows后门法式HazyBeacon，旨在通过荫蔽伎俩窃取涉及业务争端、表交政策等战术领域的敏感信息。据安全钻研员分析，攻击者通过DLL侧载技术实现初始入侵：将恶意动态链接库文件mscorsvc.dll与合法Windows过程mscorsvw.exe绑缚植入受害系统。该恶意DLL在启动后，会与攻击者节造的AWS Lambda URL成立加密通讯渠路，利用亚马逊云服务的无服务器函数职能暗藏号令与节造（C2）流量。这种“依附可折服务（LOTS）”的战术，使威胁行为者得以在公开云平台上构建难以追忆的恶意通讯链路，同时通过系统服求实现悠久化驻留，确保沉启后仍可运行。HazyBeacon的主题职能是定向文件网络。其有效载荷会扫描并窃取特按功夫领域内创建的文档（如.doc、.xls、.pdf等），尤其关注与美国近期关税措施有关的文件。为躲避检测，攻击者进一步利用谷歌云端硬盘和Dropbox等合法云存储服务作为数据表泄通路，将窃守信息混入正常流量传输。

https://thehackernews.com/2025/07/state-backed-hazybeacon-malware-uses.html

3. 国际法律行动粉碎罗马尼亚Diskstation勒索团伙

7月15日，由欧洲刑警组织协调的"Elicius行动"近日成功瓦解罗马尼亚"Diskstation"勒索软件团伙，该组织自2021年起以Synology网络附加存储（NAS）设备为指标，对意大利伦巴第地域多家企业执行加密攻击，导致其业务系统瘫痪。法国与罗马尼亚警方结合参加的这次行动，标志取跨国网络安全法律合作获得沉大突破。该团伙专门针对露出在互联网上的NAS设备，这类设备常被企业用于文件存储、备份及共享。其勒索软件通过加密受害者数据，要求支付1万至数十万美元不等的加密钱币赎金，受害企业蕴含图形设计公司、影视造作机构、活动策动方及国际非当局组织。米兰检察官办公室辅导的调查团队通过区块链追踪赎金流向，并结合受习染系统的取证分析，扣留一名44岁罗马尼亚男子，该嫌疑人被指控为团伙主谋，目前因涉嫌犯法侵入推算机系统及诓骗勒索处于审枪押状态。"Diskstation"勒索软件曾以"DiskStation Security""Quick Security"等分歧名称变体活跃，凸显犯罪分子通过技术假装躲避检测的惯用手法。

https://www.bleepingcomputer.com/news/security/police-disrupt-diskstation-ransomware-gang-attacking-nas-devices/

4. DragonForce勒索团伙宣称攻击美国百年零售商Belk

7月15日，美国百年零售巨头Belk近日陷入网络安全�；�。勒索软件组织DragonForce公开宣称对2025年5月7日至11日期间针对该公司的攻击掌管，并宣称窃取了156GB内部数据，蕴含员工及客户的姓名、社会安全号码等敏感幼我信息。这次事务导致Belk官网一度瘫痪，其应对措施与数据泄露细节引发宽泛关注。Belk成立于1888年，总部位于北卡罗来纳州夏洛特，在美国16个州运营约300家门店，主营服装、家居用品及珠宝等商品。5月8日，Belk发现系统异常后，当即结合第三方网络安全专家发展调查，确认未经授权的第三方在此前四天内接见了部门公司系统并获取内部文件。只管Belk迅快采取限度网络接见、沉置密码、沉建受影响服务器及部署加强监控工具等措施，但部门蕴含幼我信息的文件已被表泄。目前，该公司正共同法律部门调查，并为受影响用户提供12个月的免费信誉监控与身份复原服务。

https://securityaffairs.com/179958/data-breach/belk-hit-by-may-cyberattack-dragonforce-stole-150gb-of-data.html

5. Konfety Android恶意软件使用体式谬误的APK逃避检测

7月15日，移动安全平台Zimperium近日发现Konfety Android恶意软件推出新型变种，通过畸形ZIP结构、加密动态代码加载及APK压缩混合等多沉技术，成功躲避传统安全检测。该恶意软件假装成Google Play上的合法利用，诱导用户通过第三方利用商店下载，实则不具备任何承诺职能，转而执行告白诓骗、信息窃取及潜在恶意行为。Konfety的主题恶意职能蕴含：通过CaramelAds SDK加载暗藏告白、窃取用户已装置利用列表、网络配置及设备系统信息；同时利用地理围栏技术凭据受害者所处地域调整行为模式，例如定向推送虚伪浏览器通知或诱导装置恶意利用。值妥贴心的是，其APK文件内嵌加密的辅助DEX�？�，该�？樵谠诵惺苯饷懿⒍釉�，蕴含AndroidManifest中申明的暗藏服务，为后续植入更危险职能预留接口。为逃避分析，Konfety选取三沉混合战术：其一，通过伪造APK的通用位标志，误导工具以为文件已加密，触发谬误密码提醒以延长逆向工程；其二，在APK文件中申明不支持的BZIP压缩体式，导致JADX、APKTool等主流分析工具解析失败；其三，暗藏利用图标与名称，降低用户觉察风险。

https://www.bleepingcomputer.com/news/security/android-malware-konfety-uses-malformed-apks-to-evade-detection/

6. Shopify合规插件Consentik露出数百商家敏感数据

7月15日，一款旨在援手电商企业遵守隐衷律例的Shopify插件Consentik，近期被曝存在严沉安全缝隙，导致数百家在线商店的敏感数据在互联网上公开露出长达四个月。这款由越南开发公司Omegatheme推出的工具，虽获得Shopify官方"专为Shopify打造"认证并占有4.9星高评级，却因配置不当的Kafka服务器，将实时网站分析数据、Shopify治理员凭证及Facebook告白令牌等关键信息露出给任何通达起源的接见者。Consentik插件的主题职能是向客户网站增长Cookie赞成横幅，协助商家满足GDPR、LGPD和CCPA等隐衷合规要求。然而，钻研团队发现，其后盾服务器未设置接见限度，导致蕴含Shopify幼我接见令牌和Facebook身份验证令牌的数据持续泄露。这些凭证若被恶意利用，攻击者可能以治理员权限收受电商店铺，执行批改价值、注入恶意代码、窃取客户数据，甚至用垂钓页面代替正版店面等操作。此表，Facebook代币的泄露还可能使商家告白账户被劫持，造成预算损耗和品牌信赖�；�。这次事务影响领域宽泛，涉实时捎注化妆品、健身和消费电子等多个领域的在线商店。

https://cybernews.com/security/shopify-plugin-consentik-data-leak/

7*24幼时服务热线

400-624-3900

+86(10)56631988(港澳专线)

官方微信

官方微博

网御星云合多数据书生电子云子可信

司法申明

GA黄金甲

网络安全防护

网络安全检测

利用安全

数据安全

安全治理

云安全

工控安全

移动及终端安全

密码利用安全

大模型利用安全

专业安全服务

安全运营中心

知白学院

威胁谍报中心

安全传递

钻研汇报

安全团队

渠路系统

售后服务

升级布告

软件升级

公司概况

新闻动态

技术专题

人才招聘

投资者关系

资源中心

联系GA黄金甲

安全钻研