微軟警告稱,攻擊者將竊取加密貨幣的惡意軟體隱藏在公共 npm 套件中,這為開發人員、加密貨幣投資者和錢包用戶帶來了新的風險。
微軟威脅情報部門表示,兩個受損的 npm 套件,[email protected] 和 [email protected],正在「濫用 Hugging Face 儲存庫作為資料外洩基礎設施」。該公司稱,這些套件部署了一個遠端存取木馬 (RAT),可以收集鍵盤輸入、螢幕截圖和加密錢包憑證。
Npm 是一個公共軟體註冊表,JavaScript 開發人員用它來建構應用程式和網路工具。當開發人員安裝被污染的套件時,惡意軟體可以在設備上悄悄運行,並監視敏感檔案、密碼或錢包資料。
這次攻擊活動之所以引人注目,是因為攻擊者使用 Hugging Face 這個用於人工智慧和機器學習專案的可信任平台來傳輸被竊取的資料。與直接連結到未知犯罪伺服器相比,這種方式可以使流量看起來不那麼可疑。
對於加密貨幣用戶而言,這造成了直接的安全隱患。開發人員的機器可能儲存著瀏覽器錢包、私鑰、助記詞檔案、交易所 API 金鑰、GitHub 令牌和雲端登入憑證。如果攻擊者收集到這些細節,他們就可以攻擊錢包、程式碼儲存庫和交易系統。
相關的 crypto.news 報導顯示,軟體供應鏈攻擊仍然是加密貨幣領域的一個現實問題。5 月 25 日的一份報告指出,TrapDoor 惡意軟體活動透過 npm、PyPI 和 Rust 生態系統中的 34 個惡意套件傳播。
該活動透過假冒的開發人員工具,竊取錢包資料、API 金鑰、雲端憑證和 SSH 存取權限,從而針對加密貨幣和 AI 開發人員。它還表明,攻擊者現在不僅針對最終用戶,也針對用於建構加密應用程式的人員和系統。
Crypto.news 也在 3 月份報導,慢霧(Slow Fog)警告開發人員有關惡意的 Axios 版本。這些被污染的版本引入了 plain-crypto-js 惡意軟體,使加密貨幣開發人員面臨跨平台 RAT 和透過 npm 竊取憑證的風險。
微軟的警告是在其安全團隊發布另一份惡意軟體報告之後。5 月 26 日,微軟表示攻擊者利用被污染的搜尋結果和一些 AI 聊天機器人互動來散佈假冒的 PC 公用程式下載,這些下載會安裝 GPU 挖礦惡意軟體。
該活動針對擁有強大顯示卡的用戶,包括遊戲玩家和硬體愛好者。微軟表示,惡意軟體濫用 ScreenConnect、Microsoft .NET 公用程式以及 CrystalDiskInfo 和 HWMonitor 等工具的假下載來運行加密礦工。
最新的 npm 警告再次提醒人們關注基本安全措施。開發人員應審核近期安裝的套件、移除可疑的依賴項、輪換已暴露的憑證並檢查錢包活動。加密貨幣用戶應避免在已連接的設備上儲存助記詞,並在簽署前驗證每一筆錢包交易。
