朝鲜升级供应链恶意软件XORIndex,再次瞄准npm生态系统
Socket威胁研究团队最新披露,朝鲜国家支持的黑客组织在"传染性面试"攻击活动中采用了新型恶意软件加载器XORIndex,该恶意程序专门通过npm软件包注册表渗透软件供应链。
攻击规模与持续性
此次攻击并非孤立事件,而是针对开发者、求职者以及持有加密货币资产或敏感凭证人员的持续性攻击行动。2025年6月至7月期间,攻击者向npm注册表上传了67个恶意软件包,其中28个携带XORIndex加载器。截至报告发布时,仍有27个恶意包处于活跃状态,这些软件包累计下载量已超过1.7万次。
XORIndex技术分析
该恶意软件因其采用XOR编码字符串和基于索引的混淆技术而得名,其攻击流程分为四个阶段:
- 收集主机元数据(主机名、用户名、IP地址、地理位置)
- 通过硬编码C2服务器传输数据,包括:
- https://log-writter[.]vercel[.]app/api/ipcheck
- https://soc-log[.]vercel[.]app/api/ipcheck
- 使用eval()执行攻击者提供的JavaScript有效载荷
- 加载BeaverTail等第二阶段恶意程序,进而获取已知后门程序InvisibleFerret
数据窃取机制
BeaverTail恶意软件会系统扫描以下目标:
- 加密货币钱包(MetaMask、Coinbase Wallet等)
- 浏览器扩展程序
- 关键配置文件目录(如/Library/Application Support/Exodus/)
- macOS钥匙串文件
- Chromium和Firefox浏览器配置文件
收集的数据被压缩为ZIP文件上传至http://144[.]217[.]86[.]88/uploads,同时还会在内存中加载执行第三阶段恶意程序InvisibleFerret。
技术演进路径
研究报告详细揭示了XORIndex从基础原型到成熟恶意软件的演变过程:
- postcss-preloader:基础信标功能,无混淆措施
- js-log-print:增加侦察功能但存在IP处理缺陷
- dev-filterjs:引入ASCII缓冲区的字符串级混淆
- cronek:完整的XOR字符串隐藏、端点轮换和隐蔽技术
安全建议
此次攻击活动展现出朝鲜网络攻击行动的日趋成熟,其特征包括:
- 重复使用硬编码C2基础设施
- 模块化加载器架构
- 针对可信开源生态系统的精准打击
安全专家建议开发者和开源社区保持高度警惕,特别防范通过软件供应链渗透和针对特定人群的定向攻击。