Socket威脅研究團隊最新披露，朝鮮國家支持的黑客組織在"傳染性面試"攻擊活動中采用了新型惡意軟件加載器XORIndex，該惡意程序專門通過npm軟件包注冊表滲透軟件供應鏈。

攻擊規模與持續性

此次攻擊并非孤立事件，而是針對開發者、求職者以及持有加密貨幣資產或敏感憑證人員的持續性攻擊行動。2025年6月至7月期間，攻擊者向npm注冊表上傳了67個惡意軟件包，其中28個攜帶XORIndex加載器。截至報告發布時，仍有27個惡意包處于活躍狀態，這些軟件包累計下載量已超過1.7萬次。

XORIndex技術分析

該惡意軟件因其采用XOR編碼字符串和基于索引的混淆技術而得名，其攻擊流程分為四個階段：

1. 收集主機元數據（主機名、用戶名、IP地址、地理位置）
2. 通過硬編碼C2服務器傳輸數據，包括：
   • https://log-writter[.]vercel[.]app/api/ipcheck
   • https://soc-log[.]vercel[.]app/api/ipcheck
3. 使用eval()執行攻擊者提供的JavaScript有效載荷
4. 加載BeaverTail等第二階段惡意程序，進而獲取已知后門程序InvisibleFerret

數據竊取機制

BeaverTail惡意軟件會系統掃描以下目標：

• 加密貨幣錢包（MetaMask、Coinbase Wallet等）
• 瀏覽器擴展程序
• 關鍵配置文件目錄（如/Library/Application Support/Exodus/）
• macOS鑰匙串文件
• Chromium和Firefox瀏覽器配置文件

收集的數據被壓縮為ZIP文件上傳至http://144[.]217[.]86[.]88/uploads，同時還會在內存中加載執行第三階段惡意程序InvisibleFerret。

技術演進路徑

研究報告詳細揭示了XORIndex從基礎原型到成熟惡意軟件的演變過程：

• postcss-preloader：基礎信標功能，無混淆措施
• js-log-print：增加偵察功能但存在IP處理缺陷
• dev-filterjs：引入ASCII緩沖區的字符串級混淆
• cronek：完整的XOR字符串隱藏、端點輪換和隱蔽技術

安全建議

此次攻擊活動展現出朝鮮網絡攻擊行動的日趨成熟，其特征包括：

• 重復使用硬編碼C2基礎設施
• 模塊化加載器架構
• 針對可信開源生態系統的精準打擊

安全專家建議開發者和開源社區保持高度警惕，特別防范通過軟件供應鏈滲透和針對特定人群的定向攻擊。