Socket威脅研究團(tuán)隊(duì)最新披露，朝鮮國(guó)家支持的黑客組織在"傳染性面試"攻擊活動(dòng)中采用了新型惡意軟件加載器XORIndex，該惡意程序?qū)ｉT(mén)通過(guò)npm軟件包注冊(cè)表滲透軟件供應(yīng)鏈。

攻擊規(guī)模與持續(xù)性

此次攻擊并非孤立事件，而是針對(duì)開(kāi)發(fā)者、求職者以及持有加密貨幣資產(chǎn)或敏感憑證人員的持續(xù)性攻擊行動(dòng)。2025年6月至7月期間，攻擊者向npm注冊(cè)表上傳了67個(gè)惡意軟件包，其中28個(gè)攜帶XORIndex加載器。截至報(bào)告發(fā)布時(shí)，仍有27個(gè)惡意包處于活躍狀態(tài)，這些軟件包累計(jì)下載量已超過(guò)1.7萬(wàn)次。

XORIndex技術(shù)分析

該惡意軟件因其采用XOR編碼字符串和基于索引的混淆技術(shù)而得名，其攻擊流程分為四個(gè)階段：

(1) 收集主機(jī)元數(shù)據(jù)（主機(jī)名、用戶名、IP地址、地理位置）

(2) 通過(guò)硬編碼C2服務(wù)器傳輸數(shù)據(jù)，包括：

• https://log-writter[.]vercel[.]app/api/ipcheck
• https://soc-log[.]vercel[.]app/api/ipcheck

(3) 使用eval()執(zhí)行攻擊者提供的JavaScript有效載荷

(4) 加載BeaverTail等第二階段惡意程序，進(jìn)而獲取已知后門(mén)程序InvisibleFerret

數(shù)據(jù)竊取機(jī)制

BeaverTail惡意軟件會(huì)系統(tǒng)掃描以下目標(biāo)：

• 加密貨幣錢包（MetaMask、Coinbase Wallet等）
• 瀏覽器擴(kuò)展程序
• 關(guān)鍵配置文件目錄（如/Library/Application Support/Exodus/）
• macOS鑰匙串文件
• Chromium和Firefox瀏覽器配置文件

收集的數(shù)據(jù)被壓縮為ZIP文件上傳至http://144[.]217[.]86[.]88/uploads，同時(shí)還會(huì)在內(nèi)存中加載執(zhí)行第三階段惡意程序InvisibleFerret。

技術(shù)演進(jìn)路徑

研究報(bào)告詳細(xì)揭示了XORIndex從基礎(chǔ)原型到成熟惡意軟件的演變過(guò)程：

• postcss-preloader：基礎(chǔ)信標(biāo)功能，無(wú)混淆措施
• js-log-print：增加偵察功能但存在IP處理缺陷
• dev-filterjs：引入ASCII緩沖區(qū)的字符串級(jí)混淆
• cronek：完整的XOR字符串隱藏、端點(diǎn)輪換和隱蔽技術(shù)

安全建議

此次攻擊活動(dòng)展現(xiàn)出朝鮮網(wǎng)絡(luò)攻擊行動(dòng)的日趨成熟，其特征包括：

• 重復(fù)使用硬編碼C2基礎(chǔ)設(shè)施
• 模塊化加載器架構(gòu)
• 針對(duì)可信開(kāi)源生態(tài)系統(tǒng)的精準(zhǔn)打擊

安全專家建議開(kāi)發(fā)者和開(kāi)源社區(qū)保持高度警惕，特別防范通過(guò)軟件供應(yīng)鏈滲透和針對(duì)特定人群的定向攻擊。