【安全资讯】朝鲜黑客Lazarus通过npm包感染数百名开发者

概要：

近期，朝鲜黑客组织Lazarus通过恶意npm包感染了数百名开发者。这一事件引发了广泛关注，因为这些包不仅窃取用户凭证，还可能导致敏感的加密货币信息泄露。随着网络攻击手段的不断演变，开发者们面临着前所未有的安全威胁。

主要内容：

根据Socket研究团队的报告，六个恶意npm包被发现与Lazarus黑客组织有关，这些包已被下载330次。它们的设计目的是窃取账户凭证、在受感染系统上部署后门，并提取敏感的加密货币信息。这些恶意包利用了typosquatting策略，伪装成流行的开发工具，诱使开发者意外安装。

具体而言，恶意包包括is-buffer-validator、yoojae-validator和event-handle-package等，分别用于窃取凭证、提取敏感数据和部署后门。这些包的恶意代码能够收集系统环境信息，并系统性地遍历浏览器配置文件，提取存储的密码、Cookie和浏览历史。此外，它们还针对加密货币钱包，特别是提取Solana和Exodus钱包中的敏感文件。

目前，这六个Lazarus包仍在npm和GitHub上可用，威胁依然存在。专家建议软件开发者在使用开源软件时，务必仔细检查所用包，警惕可疑代码和外部服务器调用，以降低潜在的安全风险。