GoPlus警告：朝鮮黑客借npm惡意包傳播遠控木馬

事件概要

GoPlus 中文社區於3月3日發推提醒，朝鮮黑客向 npm 註冊表發佈了一組26個惡意軟件包。這些惡意軟件包均附帶一個安裝腳本（install.js），在軟件包安裝過程中會自動執行，進而運行位於「vendor/scrypt-js/version.js」中的惡意代碼。

惡意行為

惡意代碼會通過同一惡意URL下載並執行遠程訪問木馬（RAT），實施以下惡意行為：

• 鍵盤記錄
• 剪貼板竊取
• 瀏覽器憑據收集
• TruffleHog 秘密掃描
• Git 倉庫和SSH 密鑰竊取

關聯活動

此次事件與一個名為「Famous Chollima」的朝鮮黑客活動相關。

來源：https://m.theblockbeats.info/flash/334261