朝鲜黑客正积极利用npm、GitHub和Vercel传播OtterCookie恶意软件
一项针对全球软件开发者的重大安全威胁已浮现,朝鲜国家支持的威胁行为者在“传染性访谈”运动下,系统性地在NPM、GitHub和Vercel基础设施中散布恶意软件包,以传播OtterCookie恶意软件。
这一复杂的多阶段作展示了威胁行为者如何调整其工具以针对现代JavaScript和Web3开发流程。
自2025年10月10日以来,研究人员发现了至少197个新的恶意NPM包,旨在诱使开发者安装被攻破的代码,仅这一波又记录了超过31,000次额外下载。
攻击链通过精心协调的供应链方法运作。威胁行为者在GitHub上创建虚假开发者作品集,在npm上发布冒充合法库的错字抢注包,并利用Vercel托管来部署恶意软件载荷。
当开发者无意中安装了这些恶意包时,安装后脚本会自动执行并联系攻击者控制的端点,获取并运行最新的 OtterCookie 变体。
这种与标准开发工作流程的无缝集成使得攻击尤为危险,因为它绕过了传统的安全意识,因为开发者期望 npm 包在安装时执行代码。
自2025年10月10日以来,研究人员发现了至少197个新的恶意NPM包,旨在诱使开发者安装被攻破的代码,仅这一波又记录了超过31,000次额外下载。
攻击链通过精心协调的供应链方法运作。威胁行为者在GitHub上创建虚假开发者作品集,在npm上发布冒充合法库的错字抢注包,并利用Vercel托管来部署恶意软件载荷。
当开发者无意中安装了这些恶意包时,安装后脚本会自动执行并联系攻击者控制的端点,获取并运行最新的 OtterCookie 变体。
这种与标准开发工作流程的无缝集成使得攻击尤为危险,因为它绕过了传统的安全意识,因为开发者期望 npm 包在安装时执行代码。
关于作者
评论0次