Lazarus組織在npm和PyPI平臺植入惡意軟件包

網絡安全研究人員發現，與朝鮮相關的Lazarus組織在npm和Python包索引(PyPI)倉庫中投放了一批新的惡意軟件包，這些軟件包與一個虛假招聘主題活動有關。

這一協調攻擊活動被命名為graphalgo，名稱來源于在npm注冊表中發布的第一個軟件包。據評估，該活動自2025年5月以來一直處于活躍狀態。

ReversingLabs研究員Karlo Zanki在報告中表示："攻擊者通過LinkedIn和Facebook等社交平臺，或通過Reddit等論壇上的工作機會接觸開發者。該活動包括一個圍繞區塊鏈和加密貨幣交易公司精心策劃的故事。"

值得注意的是，其中一個已識別的npm包bigmathutils在發布第一個非惡意版本后，在包含惡意載荷的第二個版本發布之前，吸引了超過10,000次下載。

惡意軟件包清單

npm平臺的惡意包包括：graphalgo、graphorithm、graphstruct、graphlibcore、netstruct、graphnetworkx、terminalcolor256、graphkitx、graphchain、graphflux、graphorbit、graphnet、graphhub、terminal-kleur、graphrix、bignumx、bignumberx、bignumex、bigmathex、bigmathlib、bigmathutils、graphlink、bigmathix、graphflowx等。

PyPI平臺的惡意包包括：graphalgo、graphex、graphlibx、graphdict、graphflux、graphnode、graphsync、bigpyx、bignum、bigmathex、bigmathix、bigmathutils等。

攻擊手法分析

與朝鮮威脅行為者進行的許多以工作為重點的活動一樣，攻擊鏈始于建立一個虛假公司，如在區塊鏈和加密貨幣交易領域的Veltrix Capital，然后建立必要的數字基礎設施來營造合法性的錯覺。

這包括注冊域名并創建相關的GitHub組織來托管多個用于編碼評估的倉庫。這些倉庫被發現包含基于Python和JavaScript的項目。

Zanki表示："檢查這些倉庫沒有發現任何明顯的惡意功能，這是因為惡意功能不是通過工作面試倉庫直接引入的，而是間接引入的——通過托管在npm和PyPI開源包倉庫中的依賴項。"

建立這些倉庫的目的是欺騙在Reddit和Facebook群組上申請其職位列表的候選人在他們的機器上運行項目，從而有效地安裝惡意依賴項并觸發感染。在某些情況下，受害者直接被LinkedIn上看似合法的招聘人員聯系。

惡意載荷功能

這些軟件包最終充當部署遠程訪問木馬(RAT)的渠道，該木馬定期從外部服務器獲取和執行命令。它支持各種命令來收集系統信息、枚舉文件和目錄、列出正在運行的進程、創建文件夾、重命名文件、刪除文件以及上傳/下載文件。

有趣的是，命令和控制(C2)通信受到基于令牌的機制保護，以確保只有帶有有效令牌的請求才被接受。這種方法之前在2023年與名為Jade Sleet(也稱為TraderTraitor或UNC4899)的朝鮮黑客組織相關的活動中觀察到過。

它的工作原理是：軟件包將系統數據作為注冊步驟的一部分發送給C2服務器，服務器響應一個令牌。然后在后續請求中將此令牌發送回C2服務器，以確認它們來自已注冊的受感染系統。

其他相關威脅

此次披露之際，JFrog發現了一個名為"duer-js"的復雜惡意npm包，由用戶"luizaearlyx"發布。雖然該庫聲稱是一個"使控制臺窗口更可見"的實用程序，但它隱藏了一個名為Bada Stealer的Windows信息竊取器。

它能夠從Google Chrome、Microsoft Edge、Brave、Opera和Yandex瀏覽器收集Discord令牌、密碼、cookie和自動填充數據，以及加密貨幣錢包詳細信息和系統信息。數據隨后被泄露到Discord webhook，以及作為備份的Gofile文件存儲服務。

同時還發現了另一個惡意軟件活動，該活動武器化npm，在使用"npm install"命令安裝軟件包期間向開發者勒索加密貨幣支付。該活動首次記錄于2026年2月4日，被OpenSourceMalware稱為XPACK ATTACK。

這些由用戶"dev.chandra_bose"上傳的軟件包包括：xpack-per-user、xpack-per-device、xpack-sui、xpack-subscription、xpack-arc-gateway、xpack-video-submission、test-npm-style、xpack-subscription-test、testing-package-xdsfdsfsc。

安全研究員Paul McCarty說："與竊取憑據或執行反向shell的傳統惡意軟件不同，這種攻擊創新性地濫用HTTP 402'需要付費'狀態碼來創建看似合法的付費墻。攻擊阻止安裝，直到受害者向攻擊者的錢包支付0.1 USDC/ETH，同時收集GitHub用戶名和設備指紋。"

Q&A

Q1：Lazarus組織的惡意軟件包攻擊是如何進行的？

A：Lazarus組織首先創建虛假的區塊鏈公司如Veltrix Capital，然后通過LinkedIn、Facebook等社交平臺或Reddit論壇發布虛假招聘信息。當開發者申請職位并運行編碼測試項目時，會自動安裝包含惡意代碼的npm或PyPI依賴包，從而觸發感染并部署遠程訪問木馬。

Q2：這些惡意軟件包具有什么功能？

A：惡意軟件包會部署遠程訪問木馬，能夠收集系統信息、枚舉文件和目錄、列出運行進程、創建/刪除文件、上傳下載文件等。它還會檢查MetaMask瀏覽器擴展是否安裝，顯示攻擊者對加密貨幣的關注，并使用基于令牌的機制保護C2通信。

Q3：開發者如何防范此類軟件包供應鏈攻擊？

A：開發者應該仔細審查第三方包的來源和維護者信息，避免安裝來源不明或下載量異常的包。對于招聘測試項目，應在隔離環境中運行，并檢查項目依賴項。同時要保持警惕，對通過社交媒體聯系的招聘機會進行驗證。