Microsoft 威脅情報發現了兩個遭到入侵的 npm 套件,正在散布遠端存取木馬惡意程式,目標鎖定開發人員與加密貨幣使用者。這些惡意套件被辨識為 [email protected] 與 [email protected],它們會從遭入侵的系統竊取按鍵紀錄、截圖以及加密貨幣錢包憑證。攻擊者使用 Hugging Face 相關的存放庫來外傳遭竊資訊,使資安團隊的偵測更具挑戰。該活動鎖定包含瀏覽器型加密貨幣錢包、私鑰、交易所 API 憑證與雲端服務憑證的開發者工作站。此發現屬於持續中的軟體供應鏈風險的一部分,影響開發者與在開發機器上儲存敏感資產的加密貨幣使用者。
Microsoft 識別出散布 RAT 惡意程式的惡意 npm 套件
Microsoft 警告,網路犯罪分子正透過隱藏在公用 npm 套件中的惡意軟體,鎖定開發人員與加密貨幣使用者。根據 Microsoft 威脅情報,兩個遭到入侵的 npm 套件(分別為 [email protected] 與 [email protected])被發現正在散布可從遭入侵系統竊取敏感資訊的遠端存取木馬(RAT)。
據稱,這些惡意套件被設計用來蒐集廣泛的資料,包括按鍵紀錄、截圖、加密貨幣錢包憑證以及其他機密資訊。由於 npm 是 JavaScript 開發人員最廣泛使用的軟體註冊中心之一,這項威脅有可能影響大量使用者:他們在建立應用程式或網路服務時,會在不知情的情況下安裝遭入侵的相依套件。
攻擊者透過 Hugging Face 平台轉送遭竊資料
Microsoft 表示,攻擊者在其資料外傳流程中使用了 Hugging Face,這是一個受歡迎的人工智慧與機器學習專案平台。透過將遭竊資訊導向一個受信任的平台,惡意活動看起來可能不如與傳統指揮與控制伺服器的通訊那麼可疑,因而使資安團隊更難偵測。
惡意程式鎖定加密貨幣錢包與開發者憑證
此威脅特別令人擔憂,尤其是對加密貨幣開發者與投資人而言。開發者工作站通常包含瀏覽器型加密貨幣錢包、私鑰、種子短語備份、交易所 API 憑證、GitHub 存取權杖以及雲端服務憑證。若攻擊者取得這些資產的存取權,他們可能會破壞加密貨幣持有、開發環境、交易系統以及程式碼儲存庫。
活動與先前的供應鏈攻擊相連
Microsoft 的調查結果也呼應了鎖定軟體供應鏈的攻擊趨勢。5 月,安全研究人員發現 TrapDoor 惡意程式活動,該活動透過 npm、PyPI 與 Rust 儲存庫中的數十個惡意套件擴散。該作業特別針對加密貨幣與人工智慧開發者,試圖竊取錢包資料、雲端憑證、API 金鑰以及 SSH 存取權。
最新警告也接續了 Microsoft 近期另一則與加密劫持(cryptojacking)惡意程式相關的報告。在那起活動中,攻擊者據稱使用被毒化的搜尋結果,並操縱 AI 聊天機器人的互動,引導使用者下載假冒的軟體。安裝後,惡意程式會在不讓受害者知情的情況下,運用系統資源挖掘加密貨幣。
安全專家建議輪替憑證並檢視套件
安全專家建議,開發者應仔細檢查新安裝的套件,移除可疑相依套件、輪替可能已暴露的憑證,並監控錢包活動是否有未經授權的交易。也建議加密貨幣使用者避免在與網路連線的裝置上儲存種子短語,並在核准任何錢包交易前,徹底驗證所有錢包交易。
常見問題
Microsoft 發現了哪些惡意 npm 套件?
Microsoft 威脅情報辨識出兩個遭到入侵的惡意 npm 套件:[email protected] 與 [email protected]。這些套件會散布可從遭入侵系統竊取按鍵紀錄、截圖、加密貨幣錢包憑證以及其他機密資訊的遠端存取木馬惡意程式。
攻擊者如何從遭入侵系統外傳遭竊資料?
攻擊者在其資料外傳流程中使用了 Hugging Face,這是一個受歡迎的人工智慧與機器學習專案平台。透過將遭竊資訊導向一個受信任的平台,惡意活動看起來可能不如與傳統指揮與控制伺服器的通訊那麼可疑,因而使資安團隊更難偵測。
專家建議開發者採取哪些安全措施?
安全專家建議,開發者應仔細檢查新安裝的套件,移除可疑相依套件、輪替可能已暴露的憑證,並監控錢包活動是否有未經授權的交易。也建議加密貨幣使用者避免在與網路連線的裝置上儲存種子短語,並在核准任何錢包交易前,徹底驗證所有錢包交易。
