据研究人员发现,朝鲜黑客在Node Package Manager (npm)在线存储库中植入了67个恶意软件包,以向开发者系统传播一种名为XORIndex的新型恶意软件加载器。这些恶意包已累计超过17,000次下载,并被套件安全平台Socket的研究人员识别为持续的“Contagious Interview”行动的一部分。
这些恶意活动自四月以来一直被监测,上个月,同一黑客组织通过35个npm包将信息窃取和后门程序植入开发者设备。
npm是Node.js的默认包管理器,广泛用于Web开发,但也常被威胁行为者用于恶意软件分发。这次上传的67个包中,有多个看似模仿或混合合法软件项目和库的名称,如vite-meta-plugin、vite-postcss-tools、vite-logging-tool等。
当受害者安装这些包时,会执行一个‘postinstall’脚本以启动XORIndex Loader,这个新工具似乎与过去攻击中观察到的HexEval Loader并行使用。XORIndex Loader收集主机数据以对每个受害者进行分析,并将其发送到托管在Vercel云应用公司基础设施上的硬编码指挥与控制(C2)地址。