朝鲜的拉撒路集团又一次发起了复杂的供应链攻击，这次利用 npm 生态系统渗透开发者环境，窃取与加密货币相关的数据。

Socket.Dev 的安全研究人员发现了六个新的恶意包，每个包都旨在部署 BeaverTail 恶意软件，同时建立一个持久后门 InvisibleFerret。这些战术与之前与拉撒路相关的网络攻击相似。

这些恶意包的下载量超过了330次，严重模仿受信任的库，通过拼写蹭用来欺骗开发者将其集成到项目中。

Lazarus 的新战术：加密开发者如何成为目标

拉撒路长期以来一直采用供应链攻击，但其最新关注加密特定基础设施的战略标志着一次重大升级。

这些恶意包旨在窃取敏感数据，包括凭证、系统信息以及最关键的加密货币钱包文件。

该恶意软件专门扫描 id.json，这是 Solana 钱包的钥匙存储文件，使拉撒路能够直接访问资金。

它还提取 exodus.wallet，这是 Exodus 加密钱包中使用的关键文件，使得未经授权的交易和资金提取成为可能。

此外，该恶意软件会搜索 Chrome、Brave 和 Firefox 的个人资料，提取登录凭证和会话数据，从而可能进一步利用。

通过多阶段负载部署，拉撒路确保对被攻陷系统的持续访问。

该恶意软件设计用于下载额外的负载，包括 InvisibleFerret 后门，确保更深层次地渗透开发者环境。

劫持 npm 包和通过开源渠道传播恶意软件的能力增强了供应链攻击向量，使得依赖 npm 库的区块链项目变得极其危险。

复杂执行：攻击是如何进行的

拉撒路最新的攻击展示了对开源生态系统和现代软件开发工作流程的深刻理解。

该集团的策略依赖于几种欺骗手段。拉撒路通过创建名称类似于受欢迎依赖项的恶意 npm 包，欺骗开发者无意中将这些感染文件集成到他们的项目中。

伪造的 GitHub 存储库进一步增加了可信度，使这些包看起来合法。

为了掩盖恶意软件的真实意图，拉撒路使用了各种混淆技术。

恶意代码与之前记录的拉撒路操作极为相似，重申其归属于 APT 组。

一旦进入系统，该恶意软件会扫描本地目录以查找加密钱包文件和敏感凭证，特别针对 Solana 和 Exodus 钱包存储文件。

窃取的数据随后被传输到一个拉撒路控制的服务器，允许攻击者直接访问受害者的资金。

为了保持隐蔽性，该脚本下载并部署 InvisibleFerret，一个设计用于长期控制被感染系统的后门。

多阶段恶意软件部署确保即使初始感染向量被检测和移除，拉撒路仍能访问被攻陷的环境。

日益复杂的对加密行业的威胁

拉撒路最新的攻击与针对加密行业的复杂网络威胁日益增加的趋势相一致。

该集团之前的攻击活动包括大型交易所的安全漏洞、通过去中心化金融(DeFi)协议洗钱被盗资金，如今还渗透开发者环境。

2025年2月的一份报告强调了针对加密的攻击如何激增。报告显示，2025年2月加密损失激增了20倍，特别是在中心化金融(CeFi)中。Bybit 独自损失了14.6亿美元，创下加密历史上最大黑客事件。

尽管 DeFi 仍遭受高频率的攻击，但 CeFi 中金融损失的压倒性集中引发了人们对中心化交易所是否足够投资于预防性网络安全措施的质疑。

此外，持续针对 BNB Chain 和以太坊（占总损失的近73%）的攻击也加重了这些质疑，并呼吁更好的安全措施。

目前显而易见的是，像拉撒路这样的高级持久威胁组织正在完善其攻击方法，正在从直接的交易所漏洞转向更隐蔽的供应链妥协。

建议开发者保持警惕。因为他们掌握关键的区块链基础设施，从而成为网络犯罪分子的有吸引力的切入点，他们依然是主要目标。