文章总结： 朝鲜背景的黑客组织通过名为terminal-logger-utils的恶意npm包发起供应链攻击，该包利用依赖库分发多阶段恶意软件，功能包括键盘记录、数据窃取和远程控制。攻击者滥用HuggingFace平台托管第二阶段载荷以规避检测，并窃取Telegram会话、浏览器凭据、加密货币钱包等高价值数据。安全专家建议立即移除受影响包、监控网络活动、轮换凭据并强制执行多因素认证。 综合评分： 85 文章分类： 供应链安全,恶意软件,漏洞分析,威胁情报,web安全

黑客利用拥抱脸传播 npm 恶意软件

原创

网络安全9527 网络安全9527

安全圈的那点事儿

2026年5月22日 19:08 北京

在小说阅读器读本章

去阅读

最近发现的一起针对 npm 生态系统的供应链攻击与朝鲜（DPRK）结盟的威胁行为者有关。

该攻击活动的核心是一个名为 terminal-logger-utils 的恶意 npm 包，它嵌入了一个复杂的、多阶段的恶意软件，能够进行键盘记录、数据窃取和远程系统控制。

该软件包通过三个依赖库 pretty-logger-utils、ts-logger-pack 和 pinno-loggers 进行分发，这些库会在安装时自动触发恶意载荷。这种技术利用了开发者通常信任的间接依赖项，从而增加了感染的可能性。

调查人员将此次活动归因于化名为“jpeek895”的威胁行为者，该行为者此前曾与 kmsec.uk 的安全研究人员记录的类似基于 npm 的攻击有关。

与该活动相关的其他 npm 帐户包括 pvnd3540749、yggedd817513 和 jpeek886，这表明有人协调一致地在整个生态系统中传播恶意软件包。

OX Security 在一份分享给 GBhackers 的报告中指出，一个恶意 npm 包包含键盘记录器、信息窃取器和远程访问木马 (RAT) 功能。攻击始于嵌入在 package.json 文件中的恶意安装后脚本，该脚本会执行一个名为 utils.cjs 的混淆 JavaScript 文件。

该文件充当投放器，对受害者系统进行分析，并下载特定于平台的第二阶段有效载荷。值得注意的是，该有效载荷托管在 Hugging Face 上，这是一个广泛用于机器学习和人工智能模型分发的平台。

这种滥用合法平台的行为与以往攻击活动中出现的策略如出一辙，即利用受信任的基础设施来逃避网络安全工具的检测。

下载完成后，第二阶段的有效载荷会以捆绑的 Node.js 二进制文件的形式执行，其中包含嵌入的恶意代码。该恶意软件通过将自身安装到 Windows 目录 %LOCALAPPDATA%\MicrosoftSystem64 中来实现持久化，它使用隐藏的 VBS 脚本和计划任务，并以注册表中的 Run 项作为备用机制。

黑客滥用拥抱脸

在运行时，该恶意软件会启动并行进程，包括系统分析、剪贴板监控和持续击键记录。

从受害机器收集的数据通过 HTTP 请求传输，包括调用诸如 /api/validate/keyboard-events 之类的端点。敏感输入，特别是密码输入，会被单独跟踪，以增强凭证窃取。

该恶意软件的目标是各种高价值数据，包括 Telegram Desktop 会话文件、浏览器凭据数据库、加密货币钱包、SSH 密钥以及 AWS、Google Cloud 和 Azure 的云配置文件。

它还会扫描本地驱动器，查找与预定义关键字匹配的文件。被盗数据通常会被压缩并上传到攻击者控制的、托管在Hugging Face 平台上的存储库，而 Telegram 会话数据则会被直接泄露到命令与控制 (C2) 服务器。

除了窃取数据外，该植入程序还通过基于 WebSocket 的 C2 通道提供完整的远程访问功能。这使得攻击者能够执行 shell 命令、篡改文件、截取屏幕截图以及注入用户输入。

该恶意软件还包含自我更新机制，允许操作人员从远程存储库部署新的有效载荷版本，而无需用户交互。

安全专家警告说，此次攻击活动凸显了针对开源生态系统的供应链攻击日益复杂化。

通过将可信软件包注册表与合法托管平台相结合，攻击者可以绕过传统防御措施，并在开发人员环境中保持持久性。

组织和开发人员应立即移除所有受影响的软件包，监控网络活动是否存在入侵迹象，轮换凭据，并强制执行多因素身份验证。此次事件凸显了依赖项审计和运行时监控在现代软件开发工作流程中的重要性。

免责声明：

本文所载程序、技术方法仅面向合法合规的安全研究与教学场景，旨在提升网络安全防护能力，具有明确的技术研究属性。

任何单位或个人未经授权，将本文内容用于攻击、破坏等非法用途的，由此引发的全部法律责任、民事赔偿及连带责任，均由行为人独立承担，本站不承担任何连带责任。

本站内容均为技术交流与知识分享目的发布，若存在版权侵权或其他异议，请通过邮件联系处理，具体联系方式可点击页面上方的联系我。

本文转载自：安全圈的那点事儿 网络安全9527 网络安全9527《黑客利用拥抱脸传播 npm 恶意软件》