【安全圈】朝鮮新一輪攻擊：利用 AI 植入 npm 惡意軟件、虛假公司和遠程訪問木馬

關鍵詞

黑殼攻擊

網絡安全研究人員在一個 npm 軟件包中發現了惡意代碼，該惡意軟件包作為依賴項被引入到由 Anthropic 公司的 Claude Opus 大語言模型（LLM）參與的項目中。

這個被質疑的軟件包是 “@validate - sdk/v2”，在 npm 上它被列為一個用于哈希運算、驗證、編碼 / 解碼以及安全隨機數生成的實用軟件開發工具包（SDK）。然而，其真正功能是從受感染環境中掠奪敏感機密信息。該軟件包顯示出利用生成式人工智能（AI）編寫代碼的跡象，于 2025 年 10 月首次上傳至代碼庫。

ReversingLabs 將此次惡意軟件攻擊行動代號命名為 “PromptMink”，并認為這是朝鮮威脅行為者 “著名千里馬”（又名 “狡猾海盜”）發起的更廣泛攻擊活動的一部分，“著名千里馬” 正是長期運行的 “傳染性面試” 活動以及欺詐性 “IT 工人” 騙局的幕后黑手。

ReversingLabs 研究員弗拉基米爾?佩佐（Vladimir Pezo）在與《黑客新聞》分享的一份報告中表示：“新的惡意軟件攻擊活動…… 涉及一個受污染的軟件包，該軟件包在 2 月 28 日對一個自主交易代理的提交中被引入。此次提交由 Anthropic 的 Claude Opus 大語言模型共同完成。它使攻擊者能夠訪問用戶的加密貨幣錢包和資金。”

該軟件包被列為另一個名為 “@solana - launchpad/sdk” 的 npm 軟件包的依賴項，而 “@solana - launchpad/sdk” 又被一個名為 “openpaw - graveyard” 的軟件包使用?！皁penpaw - graveyard” 被描述為一個 “自主人工智能代理”，它使用 Tapestry 協議在 Solana 區塊鏈上創建社交鏈上身份，通過 Bankr 進行加密貨幣交易，并與 Moltbook 上的其他代理進行交互。

ReversingLabs 稱，2026 年 2 月的一次提交中，由人工智能代理生成的軟件包作為依賴項被添加進來，導致代理軟件包執行惡意代碼，攻擊者通過泄露的憑證獲取受害者加密貨幣錢包和資金的訪問權限。

此次攻擊采用分階段方式，第一層軟件包不包含任何惡意代碼，但會導入實際嵌入惡意功能的第二層軟件包。如果第二層軟件包被檢測到或從 npm 上移除，它們會迅速被替換。

部分已識別的第一層軟件包如下

• @solana - launchpad/sdk

• @meme - sdk/trade

• @validate - ethereum - address/core

• @solmasterv3/solana - metadata - sdk

• @pumpfun - ipfs/sdk

• @solana - ipfs/sdk

ReversingLabs 解釋說：“它們實現了一些與加密貨幣相關的功能。每個軟件包都列出了許多依賴項，其中大多數是下載量達數百萬甚至數十億的流行 npm 軟件包，如 axios、bn.js 等。然而，有少數依賴項是來自第二層的惡意軟件包?！?/p>

威脅行為者采用多種技術幫助惡意軟件包逃避檢測。其中包括創建已存在于列出的流行軟件包中的函數的惡意版本。另一種技術是仿冒域名，即軟件包的名稱和描述模仿合法庫。

作為此次攻擊活動一部分發布到 npm 的首個軟件包版本可追溯到 2025 年 9 月，當時 “@hash - validator/v2” 被上傳至代碼庫。將加密貨幣竊取程序分為兩部分 —— 一個良性誘餌用于下載實際惡意軟件，這種決策可能有助于其逃避檢測，并掩蓋攻擊的真實規模。

值得注意的是，兩個月后 JFrog 記錄了該活動的一些方面，強調威脅行為者利用傳遞依賴關系在開發者系統上執行惡意代碼并虹吸有價值的數據。

在隨后的幾個月里，該攻擊活動經歷了各種變化，甚至在 2026 年 2 月針對 Python 軟件包索引（PyPI）推出了具有相同功能的惡意軟件包（“scraper - npm”）。就在上個月，還觀察到威脅行為者通過 SSH 建立持久遠程訪問，并使用 Rust 編譯的有效載荷從受感染系統中竊取包含源代碼和其他知識產權的整個項目。

該惡意軟件的早期版本是基于混淆 JavaScript 的竊取程序，它會遞歸掃描當前工作目錄中的.env 或.json 文件，并準備將其泄露到 Vercel 網址（“ipfs - url - validator.vercel.app”），“著名千里馬” 在其攻擊活動中多次濫用這個平臺。

雖然隨后的版本以 Node.js 單可執行應用程序（SEA）的形式嵌入了 PromptMink，但它也有一個明顯的缺點，即有效載荷大小從僅僅 5.1KB 增長到約 85MB。據說這導致威脅行為者轉而使用 NAPI - RS 在 Rust 中創建預編譯的 Node.js 附加組件。

該惡意軟件從簡單的信息竊取程序演變為針對 Windows、Linux 和 macOS 的專門多平臺收集程序，能夠植入 SSH 后門并收集整個項目，這表明朝鮮威脅行為者持續瞄準開源生態系統，以攻擊 Web3 領域的開發者。

ReversingLabs 補充說：“‘著名千里馬’正在利用人工智能生成的代碼和分層軟件包策略來逃避檢測，并且比人類開發者更有效地欺騙自動化編碼助手?！?/p>

“傳染性交易者” 出現

這些發現與一個名為 “express - session - js” 的惡意 npm 軟件包的發現相吻合，據信該軟件包與 “傳染性面試” 活動有關，該庫充當了一個下載器的管道，從 JSON Keeper（一個粘貼服務）獲取第二階段混淆的有效載荷。

SafeDep 本月指出：“對第二階段有效載荷的靜態反混淆顯示，這是一個完整的遠程訪問木馬（RAT）和信息竊取程序，它通過 Socket.IO 連接到 216 [.] 126 [.] 237 [.] 71，具備瀏覽器憑證竊取、加密貨幣錢包提取、截圖捕獲、剪貼板監控、鍵盤記錄以及遠程鼠標 / 鍵盤控制等功能?！?/p>

有趣的是，使用 “socket.io - client” 等合法軟件包進行命令與控制（C2）通信、“screenshot - desktop” 進行屏幕捕獲、“sharp” 進行圖像壓縮以及 “clipboardy” 進行剪貼板訪問，這與已知的 “OtterCookie” 竊取惡意軟件的使用情況重疊，“OtterCookie” 也與該活動有關。

這次的新變化是增加了 “@nut - tree - fork/nut - js” 軟件包用于鼠標和鍵盤控制，這表明攻擊者試圖更廣泛地升級遠程訪問木馬的功能，以便對受感染主機進行交互式控制。

就 “OtterCookie” 而言，它自身也在不斷演變，通過托管在 Bitbucket 上的一個被植入木馬的開源 3D 國際象棋項目以及 “gemini - ai - checker”、“express - flowlimit” 和 “chai - extensions - extras” 等惡意 npm 軟件包進行分發。

作為名為 “傳染性交易者” 活動的一部分，還采用了一種類似俄羅斯套娃的方法。攻擊從下載一個良性包裝軟件包（例如 “bjs - biginteger”）開始，然后該軟件包會下載一個惡意依賴項（例如 “bjs - lint - builder”），最終安裝竊取程序。

“Graphalgo” 利用虛假公司植入遠程訪問木馬

這一發展意義重大，因為該威脅行為者還同時與另一個正在進行的名為 “graphalgo” 的活動相關聯。在這個活動中，攻擊者利用虛假公司，通過虛假的工作面試和編碼測試，誘使開發者將惡意 npm 軟件包下載到他們的系統中。

該活動的過程如下：黑客在求職平臺和社交網絡上使用社會工程策略，誘使潛在目標下載托管在 GitHub 上的項目作為評估的一部分。這些項目反過來包含對發布在 npm 或 PyPI 上的惡意軟件包的依賴項，其主要目標是在機器上部署遠程訪問木馬（RAT）。

為了實施攻擊，攻擊者建立了一個虛假公司網絡，并在 GitHub、領英（LinkedIn）和 X 等平臺上創建令人信服的資料，以賦予其合法性的表象，使欺騙更具說服力。以 “Blocmerce” 為例，攻擊者甚至在 2025 年 8 月在美國佛羅里達州以相同名稱實際注冊了一家有限責任公司（LLC）。用于前端網絡釣魚的一些公司名稱如下：

• Veltrix Capital

• Blockmerce

• Bridgers Finance

ReversingLabs 安全研究員卡洛?贊基（Karlo Zanki）表示：“這些組織鏈接到幾個與區塊鏈公司相關的 GitHub 組織，這些組織自 2025 年 6 月以來一直在 GitHub 上活躍。它們的目的是為虛假的工作機會提供可信度，并托管虛假的工作面試任務。”

最近的活動版本還采用了一種不同的技術來托管惡意依賴項。它們不是發布到 npm 或 PyPI 上，而是作為發布工件托管在 GitHub 存儲庫中，這可能是為了盡量降低被檢測到的風險。

ReversingLabs 指出：“對惡意依賴項的引用深埋在傳遞依賴項列表中。package - lock.json 文件中的 resolved 字段指示軟件包管理器從何處獲取特定的軟件包依賴項。雖然所有其他依賴項都從官方 npm 注冊表中獲取，但惡意依賴項直接從精心制作的 GitHub 存儲庫中的發布工件獲取。”

以下是 npm 軟件包列表：

• graph - dynamic

• graphbase - js

• graphlib - js

攻擊的最終結果是部署一個遠程訪問木馬，它可以收集系統信息、枚舉文件和目錄、列出正在運行的進程、創建文件夾、重命名文件、刪除文件以及上傳 / 下載文件。

最近幾周，一個被追蹤為 UNC1069 的朝鮮國家支持的威脅集群也與最流行的 npm 軟件包之一 “axios” 的泄露事件有關，這凸顯了來自平壤的攻擊者對開源存儲庫持續構成的威脅。

自那以后，此次泄露事件背后的攻擊者發布了一個名為 “csec - crypto - utils” 的新 npm 軟件包，其中包含一個 “更新的有效載荷”，將遠程訪問木馬下載器替換為一個數據竊取程序，該程序將 AWS 密鑰、GitHub 令牌和.npmrc 配置文件泄露到外部服務器（“csec - c2 - server.onrender [.] com”）。

Hunt.io 在詳細說明供應鏈泄露事件的報告中，將此次攻擊與 Lazarus Group 的一個子集群 “BlueNoroff” 聯系起來，理由是基礎設施重疊以及該遠程訪問木馬與 “NukeSped” 相似。

ReversingLabs 表示：“威脅行為者使用先進的技術和策略，以及驚人的攻擊活動準備程度（設立佛羅里達有限責任公司）和適應能力，使朝鮮威脅行為者成為專注于加密貨幣的組織或個體開發者面臨的首要威脅?！?/p>

安全圈

網羅圈內熱點 專注網絡安全

實時資訊一手掌握！

好看你就分享 有用就點個贊

支持「安全圈」就點個三連吧！