朝鲜黑客通过开源软件平台锁定加密货币开发者_新闻

免责声明：内容不构成买卖依据，投资有风险，入市需谨慎！

朝鲜黑客通过开源软件平台锁定加密货币开发者

2025-10-16 07:04:53

美国网络安全公司揭露朝鲜黑客利用主流软件库传播恶意程序

一家美国网络安全公司近日披露，朝鲜黑客组织已将全球使用最广泛的软件库之一改造成恶意软件的传播渠道。供应链安全公司Socket的研究人员在上周的报告中指出，他们在npm注册中心发现了超过300个恶意代码包——这个中央代码库被数百万开发者用于共享和安装JavaScript软件。

隐蔽的代码植入

这些可复用代码模块看似无害，被广泛应用于从网站到加密货币应用等场景。但一旦下载安装，就会植入能够窃取密码、浏览器数据及加密货币钱包密钥的恶意程序。Socket公司将此次代号为"传染性面试"的行动归因于朝鲜国家支持的黑客组织，该组织通过伪装成技术招聘人员，专门针对区块链、Web3及相关行业的开发人员。

供应链攻击的致命威胁

npm注册中心堪称现代互联网的支柱系统。一旦被攻陷，攻击者就能将恶意代码植入无数下游应用程序。安全专家多年来持续警告，这类"软件供应链"攻击是网络空间最危险的威胁之一，因其能通过合法更新和依赖关系实现隐形传播。

朝鲜黑客的作案痕迹

研究人员通过两类关键证据锁定攻击源头：一是仿冒流行库名称的拼写错误包（如express、dotenv和hardhat的错误拼写版本），二是与已知朝鲜恶意软件家族BeaverTail和InvisibleFerret相关的代码特征。攻击者采用加密的"加载器"脚本，直接在内存中解密执行隐藏载荷，几乎不在磁盘留下痕迹。

数据显示这些恶意包在被批量下架前已有约5万次下载，目前仍有部分未被清除。黑客同时使用虚假领英招聘账号，这种手法与美国网络安全和基础设施安全局（CISA）既往记录的朝鲜网络间谍行动完全吻合。

加密货币成为终极目标

调查人员认为，攻击者的最终目标是获取存有机密凭证和数字钱包的设备。虽然Socket的发现与其他安全机构关于朝鲜窃取数十亿美元加密货币的报告相互印证，但具体细节（如确切受影响包数量）仍有待独立验证。不过，现有技术证据与平壤当局既往网络攻击的模式高度一致。

开源生态的安全困境

npm所有者GitHub表示会及时清除已发现的恶意包，并正在加强账户验证要求。但研究人员指出这如同打地鼠游戏：清除一批恶意包后，很快又会出现数百个新变种。

该事件暴露出软件供应链的脆弱本质。安全专家建议开发团队应当：将每个"npm install"命令视为潜在代码执行操作、在合并依赖项前进行扫描、使用自动化检测工具识别篡改包。开源生态的最大优势——开放性，在遭遇武器化利用时恰恰成为最致命的弱点。

免责声明：

本网站、超链接、相关应用程序、论坛、博客等媒体账户以及其他平台和用户发布的所有内容均来源于第三方平台及平台用户。百亿财经对于网站及其内容不作任何类型的保证，网站所有区块链相关数据以及其他内容资料仅供用户学习及研究之用，不构成任何投资、法律等其他领域的建议和依据。百亿财经用户以及其他第三方平台在本网站发布的任何内容均由其个人负责，与百亿财经无关。百亿财经不对任何因使用本网站信息而导致的任何损失负责。您需谨慎使用相关数据及内容，并自行承担所带来的一切风险。强烈建议您独自对内容进行研究、审查、分析和验证。

展开阅读全文