Lazarus组织在npm和PyPI平台植入恶意软件包

网络安全研究人员发现，与朝鲜相关的Lazarus组织在npm和Python包索引(PyPI)仓库中投放了一批新的恶意软件包，这些软件包与一个虚假招聘主题活动有关。

这一协调攻击活动被命名为graphalgo，名称来源于在npm注册表中发布的第一个软件包。据评估，该活动自2025年5月以来一直处于活跃状态。

ReversingLabs研究员Karlo Zanki在报告中表示："攻击者通过LinkedIn和Facebook等社交平台，或通过Reddit等论坛上的工作机会接触开发者。该活动包括一个围绕区块链和加密货币交易公司精心策划的故事。"

值得注意的是，其中一个已识别的npm包bigmathutils在发布第一个非恶意版本后，在包含恶意载荷的第二个版本发布之前，吸引了超过10,000次下载。

恶意软件包清单

npm平台的恶意包包括：graphalgo、graphorithm、graphstruct、graphlibcore、netstruct、graphnetworkx、terminalcolor256、graphkitx、graphchain、graphflux、graphorbit、graphnet、graphhub、terminal-kleur、graphrix、bignumx、bignumberx、bignumex、bigmathex、bigmathlib、bigmathutils、graphlink、bigmathix、graphflowx等。

PyPI平台的恶意包包括：graphalgo、graphex、graphlibx、graphdict、graphflux、graphnode、graphsync、bigpyx、bignum、bigmathex、bigmathix、bigmathutils等。

攻击手法分析

与朝鲜威胁行为者进行的许多以工作为重点的活动一样，攻击链始于建立一个虚假公司，如在区块链和加密货币交易领域的Veltrix Capital，然后建立必要的数字基础设施来营造合法性的错觉。

这包括注册域名并创建相关的GitHub组织来托管多个用于编码评估的仓库。这些仓库被发现包含基于Python和JavaScript的项目。

Zanki表示："检查这些仓库没有发现任何明显的恶意功能，这是因为恶意功能不是通过工作面试仓库直接引入的，而是间接引入的——通过托管在npm和PyPI开源包仓库中的依赖项。"

建立这些仓库的目的是欺骗在Reddit和Facebook群组上申请其职位列表的候选人在他们的机器上运行项目，从而有效地安装恶意依赖项并触发感染。在某些情况下，受害者直接被LinkedIn上看似合法的招聘人员联系。

恶意载荷功能

这些软件包最终充当部署远程访问木马(RAT)的渠道，该木马定期从外部服务器获取和执行命令。它支持各种命令来收集系统信息、枚举文件和目录、列出正在运行的进程、创建文件夹、重命名文件、删除文件以及上传/下载文件。

有趣的是，命令和控制(C2)通信受到基于令牌的机制保护，以确保只有带有有效令牌的请求才被接受。这种方法之前在2023年与名为Jade Sleet(也称为TraderTraitor或UNC4899)的朝鲜黑客组织相关的活动中观察到过。

它的工作原理是：软件包将系统数据作为注册步骤的一部分发送给C2服务器，服务器响应一个令牌。然后在后续请求中将此令牌发送回C2服务器，以确认它们来自已注册的受感染系统。

其他相关威胁

此次披露之际，JFrog发现了一个名为"duer-js"的复杂恶意npm包，由用户"luizaearlyx"发布。虽然该库声称是一个"使控制台窗口更可见"的实用程序，但它隐藏了一个名为Bada Stealer的Windows信息窃取器。

它能够从Google Chrome、Microsoft Edge、Brave、Opera和Yandex浏览器收集Discord令牌、密码、cookie和自动填充数据，以及加密货币钱包详细信息和系统信息。数据随后被泄露到Discord webhook，以及作为备份的Gofile文件存储服务。

同时还发现了另一个恶意软件活动，该活动武器化npm，在使用"npm install"命令安装软件包期间向开发者勒索加密货币支付。该活动首次记录于2026年2月4日，被OpenSourceMalware称为XPACK ATTACK。

这些由用户"dev.chandra_bose"上传的软件包包括：xpack-per-user、xpack-per-device、xpack-sui、xpack-subscription、xpack-arc-gateway、xpack-video-submission、test-npm-style、xpack-subscription-test、testing-package-xdsfdsfsc。

安全研究员Paul McCarty说："与窃取凭据或执行反向shell的传统恶意软件不同，这种攻击创新性地滥用HTTP 402'需要付费'状态码来创建看似合法的付费墙。攻击阻止安装，直到受害者向攻击者的钱包支付0.1 USDC/ETH，同时收集GitHub用户名和设备指纹。"

Q&A

Q1：Lazarus组织的恶意软件包攻击是如何进行的？

A：Lazarus组织首先创建虚假的区块链公司如Veltrix Capital，然后通过LinkedIn、Facebook等社交平台或Reddit论坛发布虚假招聘信息。当开发者申请职位并运行编码测试项目时，会自动安装包含恶意代码的npm或PyPI依赖包，从而触发感染并部署远程访问木马。

Q2：这些恶意软件包具有什么功能？

A：恶意软件包会部署远程访问木马，能够收集系统信息、枚举文件和目录、列出运行进程、创建/删除文件、上传下载文件等。它还会检查MetaMask浏览器扩展是否安装，显示攻击者对加密货币的关注，并使用基于令牌的机制保护C2通信。

Q3：开发者如何防范此类软件包供应链攻击？

A：开发者应该仔细审查第三方包的来源和维护者信息，避免安装来源不明或下载量异常的包。对于招聘测试项目，应在隔离环境中运行，并检查项目依赖项。同时要保持警惕，对通过社交媒体联系的招聘机会进行验证。