朝鲜黑客向 JavaScript 和 Python 开发人员提供虚假工作机会。他们在 LinkedIn、Reddit 和 Facebook 上发布的编码挑战中隐藏了恶意软件。受害者在采访期间运行代码并用 RAT 感染他们的机器。
这该活动自 2025 年 5 月起开始运行。攻击者创建虚假的加密货币公司并发布职位信息。申请人获得带有恶意 npm 或 PyPi 依赖项的存储库。运行代码会安装 Graphalgo 软件包,该软件包会删除远程访问木马。
ReversingLabs 发现 192 个不良软件包。他们使用 GitHub 组织来进行干净的存储库。恶意代码存在于“graphlib”或“bigmathutils”等依赖项中。一个软件包在被删除之前已经有 10,000 次下载。
软件包延迟激活以躲避扫描。他们检查 MetaMask 并使用受令牌保护的 C2。 Lazarus 小组匹配策略、时区和加密货币焦点。
ReversingLabs 指出:“威胁行为者只需要采取一个合法的基本项目并使用恶意依赖项对其进行修复,然后就可以为目标提供服务了。”他们补充道:“Graphalgo 活动滥用 npm 和 PyPI 软件包来传播恶意软件。”
活动时间表
| 时期 | 套餐主题 | 下载受到影响 |
|---|---|---|
| 2025 年 5 月至 12 月 | “图表”名称 | 高产量 |
| 2025 年 12 月+ | “大”名字 | bigmathutils 上超过 10,000 个 |
| 进行中 | JS/Python/VBS | 总共 192 包 |
感染流程
虚假职位发布会导致 GitHub 存储库。受害者运行 npm install。依赖性拉动 RAT 有效负载。恶意软件列出进程、运行命令、窃取文件和 MetaMask 数据。
老鼠能力
- 进程枚举。
- 任意命令执行。
- 渗漏文件。
- 额外的有效载荷下降。
指标表
| 类型 | 示例 | 地位 |
|---|---|---|
| 套餐 | graphlib 假货,bigmathutils 1.1.0 | 已弃用/删除 |
| 平台 | npm、PyPi、GitHub 组织 | 清理仓库 |
| C2 | 令牌保护 | 专注于加密货币 |
防护措施
- 在 LinkedIn 上验证招聘人员。
- 使用 Snyk 或 Retire.js 扫描依赖项。
- 在虚拟机中运行代码进行面试。
- 如果暴露了,请旋转令牌。
FAQ
谁负责 Graphalgo 活动?
Lazarus(朝鲜)的信心为中高。
找到了多少个包裹?
192 个恶意 npm/PyPi 依赖项。
受害者安装了什么?
用于过程控制和加密盗窃的 RAT。
如何避免感染?
检查工作合法性、扫描部门、使用沙箱。
如果感染了怎么办?
轮换所有信用,重新安装操作系统。