文章总结： 微软将近期导致超过140个npm软件包受损的MastraAI供应链攻击归因于朝鲜黑客组织SapphireSleet。攻击者入侵了npm维护者账户，发布恶意软件包更新，注入名为easy-day-js的恶意依赖项，旨在窃取敏感凭证、API密钥及加密货币钱包信息。该恶意软件可跨Windows、Linux和macOS系统运行，并利用多种持久化方法。SapphireSleet曾负责2026年4月对AxiosHTTP客户端的另一次npm供应链攻击。 综合评分： 85 文章分类： 供应链安全,恶意软件,漏洞分析,威胁情报,网络安全

【安全圈】Microsoft 将 Mastra AI 供应链攻击归因于朝鲜黑客

安全圈

2026年6月22日 19:00 江苏

在小说阅读器读本章

去阅读

关键词

朝鲜黑客

Microsoft 将最近导致超过 140 个 npm 软件包受损的 Mastra AI 供应链攻击归因于朝鲜黑客组织 Sapphire Sleet，也称为 BlueNoroff。

此归因是在 Microsoft 本周早些时候首次披露攻击者劫持了一个 npm 维护者账户并利用它发布恶意软件包更新之后得出的。

“Microsoft 高度确信此活动可归因于 Sapphire Sleet，这是一个主要瞄准金融部门的朝鲜国家级行为者，”该公司在 6 月 19 日的更新中表示。

根据 Microsoft 的说法，攻击始于威胁行为者入侵了 npm 维护者账户 “ehindero”，该账户拥有在 Mastra 软件包环境中发布的权限。

利用该账户，攻击者在 @mastra 范围内发布了超过 140 个软件包的恶意更新，注入了一个名为 “easy-day-js” 的恶意依赖项。该依赖项是合法且广泛使用的 dayjs JavaScript 库的 typosquat（仿冒包名）。

安装受损软件包后，恶意依赖项执行了一个 post-install hook，在开发人员的设备上部署了一个恶意软件投放器，最终旨在窃取敏感凭证、API 密钥、身份验证令牌和加密货币钱包。

“安装后，easy-day-js 触发了一个 postinstall hook，执行了一个混淆的投放器脚本，禁用了传输层安全（TLS）证书验证，联系了攻击者控制的命令与控制（C2）基础设施，下载了第二阶段载荷，并将该载荷作为分离的隐藏进程执行，”Microsoft 解释道。

跨平台恶意软件瞄准加密货币钱包

下载的第二阶段载荷是一个跨平台信息窃取器，旨在针对 Windows、Linux 和 macOS 系统。

该植入物收集有关主机、浏览器历史记录、已安装应用程序和正在运行的进程的信息，并检查是否安装了 166 个加密货币钱包浏览器扩展，包括 MetaMask、Phantom、Coinbase Wallet、Binance Wallet 和 TronLink。

恶意软件还根据操作系统使用不同的持久化方法，例如 Windows 注册表 Run 键、macOS LaunchAgents 和 Linux systemd 服务。

Microsoft 表示，与攻击者命令与控制服务器通信的系统具有后续活动，利用了先前与 Sapphire Sleet 相关的战术。

这包括部署该组织先前使用的 PowerShell 后门、额外的持久化机制、Microsoft Defender 排除项以及授予 SYSTEM 权限的恶意 Windows 服务。

“该 PowerShell 后门、战术和 C2 基础设施已被 Sapphire Sleet 用于其他先前的活动中，”Microsoft 解释道。

Sapphire Sleet 是一个朝鲜国家支持的威胁行为者，以加密货币盗窃活动、恶意浏览器扩展、虚假工作邀请和旨在窃取凭证和加密货币资产的软件供应链妥协而闻名。

Microsoft 表示该组织还负责 2026 年 4 月对 Axios HTTP 客户端的另一次 npm 供应链攻击。

END

阅读推荐

【安全圈】西安公安 19 小时打掉世界杯网络赌局

【安全圈】初级黑客在其 C2 下线后使用 Tailscale 和 OpenSSH 保持访问

【安全圈】FortiBleed 泄露事件暴露 73,000 台设备的 Fortinet VPN 凭证

【安全圈】国际足联后台曝高危漏洞 黑客能随意篡改全球世界杯直播

安全圈

←扫码关注我们

网罗圈内热点 专注网络安全

实时资讯一手掌握！

好看你就分享 有用就点个赞

支持「安全圈」就点个三连吧！

免责声明：

本文所载程序、技术方法仅面向合法合规的安全研究与教学场景，旨在提升网络安全防护能力，具有明确的技术研究属性。

任何单位或个人未经授权，将本文内容用于攻击、破坏等非法用途的，由此引发的全部法律责任、民事赔偿及连带责任，均由行为人独立承担，本站不承担任何连带责任。

本站内容均为技术交流与知识分享目的发布，若存在版权侵权或其他异议，请通过邮件联系处理，具体联系方式可点击页面上方的联系我。

本文转载自：安全圈 《【安全圈】Microsoft 将 Mastra AI 供应链攻击归因于朝鲜黑客》