谷歌威胁情报组直指朝鲜黑客集团UNC1069干了这票。Axios这个热门npm包惨遭供应链攻击。维护者账户被夺,恶意版1.14.1和0.30.4上线40分钟内。北韩这伙人专偷加密货币,早有前科。
攻击藏得深。没改Axios核心代码。恶意依赖“plain-crypto-js”藏postinstall钩子。npm一装就后台跑。dropper叫SILKBELL,伪装“setup.js”。它查OS,拉远程payload。Windows扔PowerShell恶意码。macOS上C++ Mach-O二进制。Linux挨Python后门。一装完,自毁痕迹。换干净package.json。开发者懵了。
后门升级成WAVESHAPER.V2。Elastic Security Labs先嗅出端倪。功能重叠太明显。UNC1069从2018年活跃。瞄准加密行业。V2比老版WAVESHAPER牛。JSON通信。多系统情报收集。四命令伺候:kill杀进程。rundir列目录,带路径大小时间戳。runscript跑AppleScript、PowerShell或shell。peinject解码跑任意二进制。C2每60秒beacon。User-Agent奇葩。临时目录一模一样,比如/Library/Caches/com.apple.act.mond。
谷歌分析师John Hultquist说,北韩深谙供应链。Axios这么火,影响大。Mandiant和GTIG确认,V2是WAVESHAPER进化。命令行传C2 URL。打包变JSON。开发者建链全中招。
加密圈子最慌。UNC1069爱偷币。BTC现报$68,569(24h +1.84%)。ETH $2,127(24h +3.54%)。市场热着呢,黑客下手准。过去他们就这么干。WAVESHAPER瞄准过钱包。这回跨平台,Windows macOS Linux全覆盖。npm装包的开发者,加密项目一大堆。
自救招数实打实。审计依赖树。发现1.14.1或0.30.4,赶紧降到安全版。package-lock.json pin Axios稳版。node_modules搜“plain-crypto-js”。杀恶意进程。封C2域sfrclak[.]com,IP 142.11.206[.]73。隔离机器。轮换凭证。
ReversingLabs的Tomislav Peričin点破。这不是孤案,是模板。维护者凭证被盗。三OS预置payload。40分钟双分支。内置自毁。规模化操作。PyPI NuGet下一个。组织得扫所有包管理器。CI/CD秘密全当泄了。
开发者醒醒。npm太依赖了。开源包百万计,黑客专挑热门下手。加密项目更得警惕。钱包代码链条长,一环破全盘输。北韩这帮家伙,技术升级快。C2 polling稳,命令灵活。行业得推SBOM,供应链透明化。别等偷了上亿才哭。谷歌这次归因,证据链齐。Elastic Mandiant GTIG三家合力。UNC1069别想跑。
这事敲警钟。加密开发者,审包审到骨子里。行情涨着,黑客盯着。防护松懈,币没了。赶紧动起来。