朝鲜黑客借npm供应链攻击加密开发者

近日，美国网络安全公司Socket披露了一起由朝鲜政府支持的黑客组织发起的大规模软件供应链攻击事件。该行动利用npm——全球最广泛使用的JavaScript软件包注册表——作为恶意软件传播渠道，已检测到超过300个伪装成合法依赖项的恶意代码包被上传。 这些恶意包多为知名库的拼写错误版本，如'express'、'dotenv'和'Helmet'，外观无害，一旦被开发者通过npm install引入项目，便会触发隐藏在内存中的加密加载器，执行窃取密码、浏览器数据及加密货币钱包密钥的恶意行为。攻击者还使用虚假LinkedIn招聘账户进行诱骗，这一手法与此前被美国网络安全和基础设施安全局（CISA）确认的朝鲜网络间谍活动高度一致。 此次攻击被命名为“传染性采访”，其技术特征与已知的朝鲜黑客家族‘海狸尾’和‘隐形雪貂’相符。研究人员估计，在相关包被删除前已有约5万次下载，部分仍在线上流通，构成持续威胁。 尽管GitHub作为npm所有者表示将加强账户验证并及时移除恶意内容，但攻击者不断更换包名与部署方式，呈现出典型的‘打地鼠’式对抗模式，难以根除。 对于加密货币生态而言，此类攻击暴露了开源供应链的深层脆弱性。安全专家强调，开发者必须将每一次npm安装视为潜在代码执行风险，强制执行依赖项扫描、启用自动化审查工具，并对第三方库进行严格审计。 当前，随着全球对数字资产安全的关注提升，软件供应链安全已成为影响市场趋势的关键因素之一。此事件也再次引发关于监管新政如何应对国家级黑客组织利用开源平台实施金融破坏的讨论。 未来，建立更严格的包发布审核机制、推动可信签名体系以及强化开发者安全意识，将是抵御类似攻击的核心路径。开源的开放性虽带来创新优势，但在恶意势力武器化下，也可能成为最大弱点。