文章总结： LazarusGroup通过劫持Axios维护者账户实施npm供应链攻击，发布含恶意依赖[email protected]的版本，利用postinstall钩子下载跨平台远程木马。攻击影响Windows、macOS和Linux系统，主要功能包括信息窃取、远程命令执行和进程注入。研究团队通过TTP匹配和IOC分析确认与WAVESHAPER木马同源，建议用户检查sfrclak.com关联并更新至安全版本。 综合评分： 85 文章分类： 供应链安全,恶意软件,威胁情报,漏洞分析,安全运营

Lazarus Group 毒害 Axios：npm 供应链攻击内幕

Ots安全

2026年4月1日 13:17 广东

威胁简报

恶意软件

漏洞攻击

针对昨日Axios npm 供应链投毒事件，ThreatBook 进行了深入的样本分析和攻击追踪。基于长期追踪关键 APT 组织所积累的威胁情报，我们将此次攻击活动归因于 Lazarus Group，并在此基础上进一步识别出其他相关的基础设施和攻击指标（IOC 列于附录中）。

此次事件影响重大。作为 JavaScript 生态系统中最基础的依赖项之一，Axios 的年下载量超过 36 亿次，并且有超过 17.4 万个项目直接或间接依赖于它。许多用户在安装 OpenClaw 及相关软件时已经感染了恶意代码。Windows、macOS 和 Linux 系统均受到影响。建议用户立即检查是否存在回调sfrclak.com。

样品分析

在此次攻击中，Lazarus 劫持了 Axios 的维护者账户，发布了恶意版本，并暗中植入了恶意依赖项[email protected]。该软件包利用安装后钩子自动执行脚本，下载远程访问木马，从而入侵设备并窃取数据。攻击流程如下：

[email protected] npm 仓库被注入了恶意代码，影响 Axios 版本 1.14.1 和 0.30.4。该package.json恶意代码引入了一个 postinstall 触发器，用于执行恶意setup.js文件。

运行setup.js的是经过混淆处理的 JavaScript 代码。

此JS文件的功能是检测主机平台，使用相关的packages.npm.org/URL作为参数下载适用于主机系统的有效载荷，并执行后续木马程序的下载，该木马程序携带攻击者的C2_url参数C2_url。http://sfrclak.com:8000/6202033

| 平台 | 下载位置 | POST 请求参数 | | — | — | — | | Linux | /tmp/ld.py | packages.npm.org/product2 | | Windows | %TEMP%\6202033.ps1 | packages.npm.org/product1 | | macOS | /Library/Caches/com.apple.act.mond | packages.npm.org/product0 |

后续有效载荷的文件哈希值按操作系统列在附录的“先前披露的 IOC”部分中。

以下分析以 macOS/Library/Caches/com.apple.act.mond有效载荷为例。该木马程序使用 C++ 编写，有两个版本：一个用于 ARM 架构，另一个用于 x86_64 架构。

木马程序运行后C2_url，首先会收集主机基本信息，包括主机名、用户名、操作系统类型和版本、CPU 信息、系统时间和用户进程列表。

http://sfrclak.com:8000/6202033然后，它使用硬编码的 UA向参数中提供的 C2 发送信标： mozilla/4.0 (compatible; msie 8.0; windows nt 5.1; trident/4.0)。

该木马的主要功能支持解析 C2 命令并执行相应的基本远程控制功能：进程终止、shell 执行、进程注入（DoActionIjt）、脚本执行（DoRunScpt/ DoActionScpt）以及从指定路径收集目录信息（DoActionDir）。

同时，Linuxld.py有效载荷和 Windows 有效载荷temp.ps1是同一木马的不同语言版本，功能完全相同。

ThreatBook 研究团队利用上述木马的特征开展威胁狩猎，识别出与此次事件相关的多个其他样本。详情请参阅附录中的“新增入侵指标 (IOC)”部分。

归因分析

ThreatBook 的分析发现，此次事件中发现的木马与 Lazarus APT 组织使用的 WAVESHAPER 木马（Mandiant 于 2026 年 2 月披露）在战术、技术和程序 (TTP)、木马行为及相关狩猎规则、网络通信用户代理 (UA)、后续有效载荷投放路径、主机信息收集方法以及 API 调用参数等方面高度相似。我们可以确认它们具有共同的来源。以下是详细分析。

1. 拉撒路历史攻击战术、技术和程序相关性

在此次攻击中，首先感染 macOS 受害者的二进制木马位于以下路径：

/Library/Caches/com.apple.act.mond

将此与 Mandiant 在 2026 年 2 月披露的 UNC1069 活动中报告的 WAVESHAPER 木马投放路径进行比较（ThreatBook 将其归因于 Lazarus）：

/Library/Caches/com.apple.mond

这两条路径完全相同，文件名也高度相似。

参考资料：谷歌威胁情报

https://cloud.google.com/blog/topics/threat-intelligence/unc1069-targets-cryptocurrency-ai-social-engineering

在 ThreatBook 于 2025 年下半年捕获的 Lazarus 攻击活动中，Nukesped 木马的投放路径/Library/Caches/System Settings与此次供应链投毒事件中的木马投放目录一致。此外，该木马用于收集 macOS 用户进程列表的命令和参数sh -c ps -eo user,pid,command也完全相同。

图片：本次事件中 com.apple.act.mond 木马收集进程列表的过程

2. WAVESHAPER 木马相关性

ThreatBook 暂时无法获取 Mandiant 披露报告中提到的 WAVESHAPER 样本（MD5：）c91725905b273e81e9cc6983a11c8d60。然而，通过对比该报告中描述的木马行为和相关狩猎规则，我们发现com.apple.act.mond当前事件中的木马与 WAVESHAPER 木马高度相似——两者都是 C++ macOS 木马，并且基本主机信息收集功能完全相同。

图片：Mandiant 公开的 WAVESHAPER 及其功能和特性。

图片：com.apple.act.mond 木马主函数中的主机信息收集

与 Mandiant 发布的 YARA 检测规则进行进一步比较（G_Backdoor_WAVESHAPER_1）：

rule G_Backdoor_WAVESHAPER_1 {
  meta:
    author = "Google Threat Intelligence Group (GTIG)"
    date_created = "2025-11-03"
    date_modified = "2025-11-03"
    md5 = "c91725905b273e81e9cc6983a11c8d60"
    rev = 1
  strings:
    $str1 = "mozilla/4.0 (compatible; msie 8.0; windows nt 5.1; trident/4.0)"
    $str2 = "/tmp/.%s"
    $str3 = "grep \"Install Succeeded\" /var/log/install.log | awk '{print $1, $2}'"
    $str4 = "sysctl -n hw.model"
    $str5 = "sysctl -n machdep.cpu.brand_string"
    $str6 = "sw_vers --ProductVersion"
  condition:
    all of them
}

当前木马程序中硬编码的网络通信用户代理（UA mozilla/4.0 (compatible; msie 8.0; windows nt 5.1; trident/4.0)）、后续有效载荷投放路径、主机信息收集方法以及API调用参数都高度一致。我们可以确认，该木马程序com.apple.act.mond与WAVESHAPER木马程序具有共同的代码来源。

根据上述归因分析，我们评估认为，com.apple.act.mond当前事件中使用的木马是 WAVESHAPER 木马，而其背后的威胁组织是 Lazarus APT 组织。

附录

先前披露的IOC

C2

• sfrclak.com
• http://sfrclak.com:8000/6202033
• 142.11.206.73

Hash-SHA256

Linux (ld.py) fcb81618bb15edfdedfb638b4c08a2af9cac9ecfa551af135a8402bf980375cf
Windows (6202033.ps1) 617b67a8e1210e4fc87c92d1d1da45a2f311c08d26e89b12307cf583c900d101
Windowspersistence (system.bat) f7d335205b8d7b20208fb3ef93ee6dc817905dc3ae0c10a0b164f4e7d07121cd
macOS (com.apple.act.mond) 92ff08773995ebc8d55ec4b8e1a225d0d1e51efa4ef88b8849d0071230c9645a

New IOCs

C2

• callnrwise.com
• 142.11.196.73
• 142.11.199.73

Hash

5b5fbc627502c5797d97b206b6dcf537889e6bea6d4e81a835e103e311690e22
46f5eea70d536f7affe40409d7aaa5fa0009f0dc4538ba2867cb7569737db859
8c8f5f095d65d3f33ce89a77dfbe84a79bb29d2e0073a57a23dcc014d0683c2e
506690fcbd10fbe6f2b85b49a1fffa9d984c376c25ef6b73f764f670e932cab4
4465bdeaddc8c049a67a3d5ec105b2f07dae72fa080166e51b8f487516eb8d07
ed8560c1ac7ceb6983ba995124d5917dc1a00288912387a6389296637d5f815c

END

公众号内容都来自国外平台-所有文章可通过点击阅读原文到达原文地址或参考地址

排版 编辑 | Ots 小安

采集 翻译 | Ots Ai牛马

公众号 | AnQuan7 (Ots安全)

免责声明：

本文所载程序、技术方法仅面向合法合规的安全研究与教学场景，旨在提升网络安全防护能力，具有明确的技术研究属性。

任何单位或个人未经授权，将本文内容用于攻击、破坏等非法用途的，由此引发的全部法律责任、民事赔偿及连带责任，均由行为人独立承担，本站不承担任何连带责任。

本站内容均为技术交流与知识分享目的发布，若存在版权侵权或其他异议，请通过邮件联系处理，具体联系方式可点击页面上方的联系我。

本文转载自：Ots安全 《Lazarus Group 毒害 Axios：npm 供应链攻击内幕》