GoPlus warnt vor 26 schädlichen npm-Paketen im Zusammenhang mit "Famous Chollima"-Kampagne

GoPlus Chinese Community warnte am 3. März auf X, dass 26 schädliche Pakete, die mutmaßlich mit nordkoreanischen Hackern in Verbindung stehen, im npm-Registry veröffentlicht wurden, wobei jedes ein "install.js"-Skript enthält, das bei der Installation ausgeführt wird und schädlichen Code in "vendor/scryptjs/version.js" auslöst. Laut der Warnung lädt dieser Code einen Remote-Access-Trojaner über eine einzelne schädliche URL herunter und führt ihn aus, der Keylogging, Diebstahl von Zwischenablage-Daten, Sammeln von Browser-Anmeldedaten, TruffleHog-basiertes Secret-Scanning, Exfiltration von Git-Repositories und SSH-Key-Diebstahl ermöglicht, in einer Operation, die mit der "Famous Chollima"-Hacking-Kampagne verbunden ist. Nutzern und Entwicklern wird geraten, Paketquellen und Sicherheit vor der Installation zu überprüfen, um die folgenden 26 npm-Pakete zu vermeiden und Risiken von Datenschutzverletzungen oder Vermögensverlusten zu reduzieren: argonist@0.41.0, bcryptance@6.5.2, beequarl@2.1.2, bubblecore@6.26.2, corstoken@2.14.7, daytonjs@1.11.20, etherlint@5.9.4, expressjslint@5.3.2, fastifylint@5.8.0, formmiderable@3.5.7, hapilint@19.1.2, iosysredis@5.13.2, jslintconfig@10.22.2, jsnwebapptoken@8.40.2, kafkajslint@2.21.3, loadashlint@4.17.24, mqttoken@5.40.2, prismlint@7.4.2, promanage@6.0.21, sequelization@6.40.2, typoriem@0.4.17, undicylint@7.23.1, uuindex@13.1.0, vitetestlint@4.1.21, windowston@3.19.2, zoddle@4.4.2.