这些包伪装成开发者工具。Socket安全研究员Kirill Boychenko在报告中指出,黑客用dev-log-core、logger-base等名字在npm上架货。PyPI有logutilkit、apachelicense。Go生态下是github.com/golangorg/formstash。Rust则是logtrace。Packagist上出现golangorg/logkit。安装时不直接触发恶意代码。黑客藏在正常函数里。比如logtrace的Logger::trace方法,看起来就是日志追踪。开发者用着顺手,黑客却在后台拉第二阶段payload。那些payload变身信息窃取器和远程访问木马。专盯浏览器、密码管理器和加密钱包。Windows版license-utils-kit更狠。Socket称它带全套后门,能跑shell命令、记键盘、偷浏览器数据、上文件、杀浏览器进程、装AnyDesk远程控制、打包加密存档、下新模块。自2025年1月起,Socket已挖出超过1700个这类包。朝鲜黑客不光打软件链,还玩社交工程。UNC1069这伙跟BlueNoroff、Sapphire Sleet重叠。SEAL报告显示,从2026年2月6日到4月7日,他们封了164个假冒Microsoft Teams和Zoom的域名。黑客在Telegram、LinkedIn、Slack上冒充熟人或品牌,发假会议链接。点开就是ClickFix诱饵,丢木马联系C2服务器。跨Windows、macOS、Linux。初次入侵后不急着动。等目标重约会,继续正常用机。微软威胁情报主管Sherrod DeGrippo说,朝鲜财狼在变工具和基础设施,假冒美国银行和视频会议App。行为核心没变,还是偷钱。
开发者环境成重灾区。Contagion Interview这次跨五个开源生态,资源足,持久战。包里恶意码对标包名功能,不会露马脚。之前他们还劫Axios npm包,塞WAVESHAPER.V2植入。控制维护者账号,用社交工程下手。加密钱包数据是香饽饽。当前BTC报$71,734(24h +4.32%),ETH $2,256(24h +6.96%),钱包里资产水涨船高,黑客下手时机准。浏览器密码和钱包私钥一锅端。post-compromise深度惊人。Windows植入能持久潜伏,最大化榨情报和钱。开源社区警钟长鸣。npm等平台审核跟不上,黑客钻空子。开发者拉包前,得查SBOM、签名和依赖树。Socket这报告等于及时雨,列全包名,社区能速封。
北韩黑客链路清晰。Contagion Interview扩展到Go、Rust、PHP,证明供应链成标配路径。间谍加捞钱两手抓。UNC1069耐心钓鱼,几天几周不露痕迹。SEAL挡164域名,暴露他们基础设施。微软确认,DPRK财动团伙在进化,但意图直球:金融打击。开源开发者别大意,拉包如过街。平台需AI扫描加人工审。钱包用户双重验证,硬件钱包上保险。黑客不等人,社区得快反击。