Socket威胁研究团队最新披露，朝鲜国家支持的黑客组织在"传染性面试"攻击活动中采用了新型恶意软件加载器XORIndex，该恶意程序专门通过npm软件包注册表渗透软件供应链。

攻击规模与持续性

此次攻击并非孤立事件，而是针对开发者、求职者以及持有加密货币资产或敏感凭证人员的持续性攻击行动。2025年6月至7月期间，攻击者向npm注册表上传了67个恶意软件包，其中28个携带XORIndex加载器。截至报告发布时，仍有27个恶意包处于活跃状态，这些软件包累计下载量已超过1.7万次。

XORIndex技术分析

该恶意软件因其采用XOR编码字符串和基于索引的混淆技术而得名，其攻击流程分为四个阶段：

1. 收集主机元数据（主机名、用户名、IP地址、地理位置）
2. 通过硬编码C2服务器传输数据，包括：
   • https://log-writter[.]vercel[.]app/api/ipcheck
   • https://soc-log[.]vercel[.]app/api/ipcheck
3. 使用eval()执行攻击者提供的JavaScript有效载荷
4. 加载BeaverTail等第二阶段恶意程序，进而获取已知后门程序InvisibleFerret

数据窃取机制

BeaverTail恶意软件会系统扫描以下目标：

• 加密货币钱包（MetaMask、Coinbase Wallet等）
• 浏览器扩展程序
• 关键配置文件目录（如/Library/Application Support/Exodus/）
• macOS钥匙串文件
• Chromium和Firefox浏览器配置文件

收集的数据被压缩为ZIP文件上传至http://144[.]217[.]86[.]88/uploads，同时还会在内存中加载执行第三阶段恶意程序InvisibleFerret。

技术演进路径

研究报告详细揭示了XORIndex从基础原型到成熟恶意软件的演变过程：

• postcss-preloader：基础信标功能，无混淆措施
• js-log-print：增加侦察功能但存在IP处理缺陷
• dev-filterjs：引入ASCII缓冲区的字符串级混淆
• cronek：完整的XOR字符串隐藏、端点轮换和隐蔽技术

安全建议

此次攻击活动展现出朝鲜网络攻击行动的日趋成熟，其特征包括：

• 重复使用硬编码C2基础设施
• 模块化加载器架构
• 针对可信开源生态系统的精准打击

安全专家建议开发者和开源社区保持高度警惕，特别防范通过软件供应链渗透和针对特定人群的定向攻击。