npm恶意软件瞄准Atomic和Exodus钱包

首页 > 清静研究 > 清静转达 > 清静简讯

npm恶意软件瞄准Atomic和Exodus钱包

宣布时间 2025-04-11

1. npm恶意软件瞄准Atomic和Exodus钱包

4月10日，，，，，网络清静公司 ReversingLabs（RL）近期发明了一种针对加密钱币用户的新战略，，，，，网络犯法分子正使用 npm（节点包管理器）网络，，，，，向外地装置的加密钱币钱包软件（尤其是 Atomic Wallet 和 Exodus）注入恶意代码。。。。。。。此次攻击通过恶意修补正当软件文件实现，，，，，攻击者可借此悄悄交流收件人钱包地点，，，，，从而阻挡加密钱币转移。。。。。。。RL 发明了一个名为“pdf-to-office”的恶意 npm 包，，，，，该包伪装成将 PDF 文件转换为 Microsoft Office 文档的适用程序，，，，，但执行时会安排恶意负载，，，，，修改 Atomic Wallet 和 Exodus 装置目录中的要害文件。。。。。。。恶意软件用木马版本笼罩正当文件，，，，，神秘更改加密钱币生意的目的地点，，，，，且难以被察觉，，，，，由于钱包焦点功效看似未变。。。。。。。别的，，，，，软件包中还发明了一个经由混淆的 JavaScript 文件，，，，，袒露了其恶意意图。。。。。。。此次攻击具有长期性，，，，，纵然恶意“pdf-to-office”软件包被删除，，，，，受熏染的加密钱币钱包软件仍会坚持熏染状态，，，，，木马文件仍在运行，，，，，悄无声息地将资金重定向到攻击者的 Web3 钱包。。。。。。。消除威胁的唯一有用要领是彻底删除并重新装置受影响的钱包软件。。。。。。。

https://hackread.com/npm-malware-atomic-exodus-wallets-hijack-crypto/

2. 俄勒冈州情形机构在遭受网络攻击后关闭网络

4月11日，，，，，克日，，，，，俄勒冈州情形质量局（DEQ）遭受网络攻击，，，，，导致其网络被迫关闭。。。。。。。该机构认真羁系俄勒冈州的空气、土地和水质量，，，，，此次攻击对其运营造成了严重影响。。。。。。。DEQ官员体现，，，，，车辆检查站将关闭至周五，，，，，以应对此次网络攻击。。。。。。。现在，，，，，该机构正在全力隔离效劳器和网络，，，，，直至攻击被完全控制并可能被根除。。。。。。。DEQ的IT、企业信息系统和微软网络清静团队正在细密相助，，，，，配合应对此次网络清静问题。。。。。。。与此同时，，，，，其他州也宣布了近期影响要害政府效劳的网络事务。。。。。。。亚利桑那州联邦公共辩护人办公室因勒索软件攻击已关闭，，，，，多起案件审理时间已改至五月。。。。。。。爱达荷州古丁县网络也遭受了勒索软件攻击，，，，，县向导已联系联邦执法部分，，，，，并约请网络清静公司协助控制事务。。。。。。。别的，，，，，内布拉斯加州北普拉特自然资源区也证实遭遇了网络攻击和数据泄露。。。。。。。值得注重的是，，，，，阻止现在，，，，，尚无任何勒索软件团伙或黑客组织声称对这些事务认真。。。。。。。

https://therecord.media/oregon-department-environmental-quality-cyberattack

3. Gamaredon组织升级攻击手段，，，，，西方网络面临新威胁

4月10日，，，，，俄罗斯政府支持的黑客组织Gamaredon（又名“Shuckworm”）自2025年2月至3月，，，，，一连针对西方国家在乌克兰的军事使命发动攻击，，，，，可能通过可移动硬盘举行。。。。。。。研究职员指出，，，，，此次攻击中，，，，，黑客安排了更新版本的GammaSteel信息窃取恶意软件以窃取数据。。。。。。。攻击始于包括恶意.LNK文件的可移动驱动器，，，，，这是Gamaredon已往常用的攻击手段。。。。。。。此次，，，，，研究职员视察到威胁行为者的战略有所转变，，，，，包括从VBS剧本转向基于PowerShell的工具、对有用载荷举行更多混淆以及更多地使用正当效劳举行逃避。。。。。。。在熏染历程中，，，，，一个高度混淆的剧本会建设并运行两个文件，，，，，划分处置惩罚下令和控制通讯及撒播机制，，，，，同时隐藏某些文件夹和系统文件。。。。。。。Gamaredon还使用侦探PowerShell剧本捕获和泄露装备信息，，，，，并最终安排基于PowerShell的GammaSteel版本，，，，，窃取桌面、文档和下载等位置的文档。。。。。。。该恶意软件使用“certutil.exe”对文件举行哈希处置惩罚，，，，，并通过PowerShell Web请求或Tor上的cURL传输被盗数据，，，，，同时在目的盘算机上建设长期性。。。。。。。

https://www.bleepingcomputer.com/news/security/russian-hackers-attack-western-military-mission-using-malicious-drive/

4. Medusa攻击脉搏紧迫照顾护士中心，，，，，泄露数据并索要赎金

4月9日，，，，，克日，，，，，黑客组织美杜莎（Medusa）对脉搏紧迫照顾护士中心（Pulse Urgent Care Center）发动攻击，，，，，该中心提供紧迫照顾护士、临床医学、女性康健、工伤赔偿和雇主效劳等一系列医疗效劳，，，，，总部位于加州雷丁，，，，，在雷德巴夫也设有分部。。。。。。。据报道，，，，，Medusa宣布了部分证据，，，，，其中包括一个文件树，，，，，内有凌驾127,000行文本名堂的数据。。。。。。。泄露的数据涵盖患者病历（包括诊断、治疗和检查效果等）、治理数据（与医疗保健提供者内部治理有关的营业信息）、包管数据（有关患者康健包管政策的信息）、提供者列表（有关医生和医疗保健专业职员的数据）、提供者纪录更新表、雇主联系和账单信息表，，，，，以及Rapid Radiology, Inc.网站的登录凭证。。。。。。。Medusa针对此次事务列出了清单，，，，，要求支付120,000美元的BTC以下载或删除所有数据。。。。。。。阻止现在，，，，，Pulse Urgent Care Center的网站上未显示任何异常迹象，，，，，且该中心尚未对此次攻击做出确认或否定。。。。。。。

https://databreaches.net/2025/04/09/__trashed-15/

5. OttoKit WordPress插件高危误差遭黑客迅速使用

4月10日，，，，，克日，，，，，WordPress的OttoKit（前称SureTriggers）插件曝出高严重性身份验证绕过误差（CVE-2025-3102），，，，，该误差影响1.0.78及以上版本。。。。。。。由于authenticating_user()函数中缺少空值检查，，，，，当插件未设置API密钥时，，，，，攻击者可通过发送空的st_authorization标头绕过身份验证，，，，，未经授权会见受保�；；；さ腁PI端点，，，，，进而建设新的治理员帐户，，，，，保存完全站点接受的高危害。。。。。。。清静研究员“mikemyers”于3月中旬发明此误差并获得赏金，，，，，4月3日，，，，，插件供应商宣布1.0.79版修复程序。。。。。。。然而，，，，，误差披露后仅数小时，，，，，黑客便最先使用此误差，，，，，实验建设新的治理员帐户。。。。。。。Patchstack研究职员忠言称，，，，，这种迅速的使用凸显了连忙应用补丁或缓解步伐的迫切需要。。。。。。。鉴于OttoKit插件已在10万个网站上活跃，，，，，且该误差影响普遍，，，，，强烈建议用户尽快升级到1.0.79版本，，，，，并检查日志中是否保存意外的治理员帐户或其他用户角色、插件/主题的装置、数据库会见事务以及清静设置的修改，，，，，以确保网站清静。。。。。。。

https://www.bleepingcomputer.com/news/security/hackers-exploit-wordpress-plugin-auth-bypass-hours-after-disclosure/

6. Gladinet CentreStack零日误差CVE-2025-30406遭在野使用

4月9日，，，，，自3月份起，，，，，黑客使用Gladinet CentreStack清静文件共享软件中的零日误差（CVE-2025-30406）入侵存储效劳器。。。。。。。该误差是一个反序列化误差，，，，，影响16.1.10296.56315及以上版本。。。。。。。问题源于CentreStack门户设置中使用了硬编码的machineKey，，，，，攻击者若知晓此密钥，，，，，可编写并执行恶意序列化负载，，，，，绕过完整性检查，，，，，注入恣意序列化工具，，，，，最终在效劳器上执行代码。。。。。。。Gladinet已于2025年4月3日宣布清静修复程序，，，，，版本为16.4.10315.56368、16.3.4763.56357（Windows）和15.12.434（macOS）。。。。。。。供应商建议用户尽快升级到最新版本，，，，，关于无法连忙更新的客户，，，，，建议轮换machineKey值作为暂时缓解步伐，，，，，并确保多效劳器安排中跨节点的一致性，，，，，在更改后重新启动IIS以应用缓解步伐。。。。。。。CISA已将该误差添加到其已知使用误差目录中，，，，，并要求受影响的州和联邦组织在2025年4月29日之前应用清静更新缓和解步伐，，，，，不然阻止使用该产品。。。。。。。鉴于该产品的性子，，，，，它很可能被使用来举行数据偷窃攻击。。。。。。。

https://www.bleepingcomputer.com/news/security/centrestack-rce-exploited-as-zero-day-to-breach-file-sharing-servers/

7*24小时效劳热线

400-624-3900

官方微信

官方微博

执法声明

鉴黑担保网

网络清静防护

网络清静检测

应用清静

数据清静

清静治理

云清静

工控清静

移动及终端清静

密码应用清静

大模子应用清静

专业清静效劳

清静运营中心

知白学院

威胁情报中心

清静团队

售后效劳

公司概况

新闻动态

手艺专题

人才招聘

投资者关系

资源中心

联系鉴黑担保网

清静研究