在 2024 年 9 月发布到 npm 注册表的三个恶意软件包中发现了一个名为 BeaverTail 的已知恶意软件，这是一个 JavaScript 下载器和信息窃取器，与朝鲜正在进行的名为 Contagious Interview 的活动有关。

Datadog 安全研究团队正在监控名为 Tenacious Pungsan 的活动，该恶意软件还有 CL-STA-0240 和 Famous Chollima 两个名称。

恶意软件包已无法从软件包注册表中下载，其名称如下

• passports-js，护照的备份副本（118 次下载）
• bcrypts-js，bcryptjs 的篡改副本（81 次下载）
• blockscan-api，ethercan-api 的屏蔽副本（124 次下载）

Contagious Interview（传染性访谈）是指朝鲜民主主义人民共和国（朝鲜）开展的一项为期一年的活动，其中包括诱骗开发人员下载恶意软件包或看似无害的视频会议应用程序，作为编码测试的一部分。它于 2023 年 11 月首次曝光。

这已经不是威胁分子第一次使用 npm 软件包分发 BeaverTail 了。2024 年 8 月，软件供应链安全公司 Phylum 披露了另一批 npm 软件包，它们为部署 BeaverTail 和名为 InvisibleFerret 的 Python 后门铺平了道路。

这些恶意软件包的名称分别是 temp-etherscan-api、etherscan-api、telegram-con、helmet-validate 和 qq-console。这两组软件包的一个共同点是，威胁行为者一直在努力模仿 etherscan-api 软件包，这表明加密货币领域是一个持久的目标。

上个月，Stacklok 说它检测到了新一轮的仿冒软件包–eslint-module-conf 和 eslint-scope-util，这些软件包的目的是收集加密货币，并对被入侵的开发者机器建立持久访问。

Palo Alto Networks 第 42 部门本月早些时候告诉《黑客新闻》，事实证明，利用求职者在网上申请工作机会时的信任感和紧迫感传播恶意软件是一种有效的方式。

这些发现凸显了威胁行为者是如何越来越多地滥用开源软件供应链作为攻击载体来感染下游目标的。

“Datadog表示：”复制和回传合法的npm软件包仍然是威胁行为者在这个生态系统中常用的策略。“这些活动以及更广泛的 Contagious Interview 突出表明，个人开发者仍然是这些与朝鲜有关联的威胁行为者的重要目标。”