GoPlus：警惕朝鮮黑客發布的26個惡意軟體包，可遠端下載並執行木馬

事件概述

GoPlus中文社區於3月3日於X平臺發布預警，指出朝鮮黑客組織「Famous Chollima」向npm註冊表發布了一組共26個惡意軟體包。這些軟體包皆附帶一個安裝腳本（”install.js”），在軟體包安裝過程中會自動執行，進而觸發位於”vendor/scrypt-js/version.js”中的惡意代碼。

惡意行為內容

• 透過同一惡意URL下載並執行遠端訪問木馬（RAT）。
• 實施鍵盤記錄、剪貼板竊取、瀏覽器憑證收集。
• 執行TruffleHog秘密掃描Git倉庫與SSH密鑰竊取等惡意行為。

風險警示

開發者與使用者在安裝軟體包時，應謹慎檢查來源與安全性，避免安裝以下26個惡意軟體包，以防止個人隱私外洩或資產損失：

• argonist@0.41.0
• bcryptance@6.5.2
• bee-quarl@2.1.2
• bubble-core@6.26.2
• corstoken@2.14.7
• daytonjs@1.11.20
• ether-lint@5.9.4
• expressjs-lint@5.3.2
• fastify-lint@5.8.0
• formmiderable@3.5.7
• hapi-lint@19.1.2
• iosysredis@5.13.2
• jslint-config@10.22.2
• jsnwebapptoken@8.40.2
• kafkajs-lint@2.21.3
• loadash-lint@4.17.24
• mqttoken@5.40.2
• prism-lint@7.4.2
• promanage@6.0.21
• sequelization@6.40.2
• typoriem@0.4.17
• undicy-lint@7.23.1
• uuindex@13.1.0
• vitetest-lint@4.1.21
• windowston@3.19.2
• zoddle@4.4.2

來源：https://www.panewslab.com/zh/articles/019cb2d3-1a0a-766f-8ffd-b3020972faaf