朝鲜升级供应链恶意软件 XORIndex，再次瞄准 npm 生态系统

Socket威胁研究团队最新披露，朝鲜次瞄朝鲜国家支持的升级生态黑客组织在"传染性面试"攻击活动中采用了新型恶意软件加载器XORIndex ，该恶意程序专门通过npm软件包注册表渗透软件供应链。链恶

攻击规模与持续性

此次攻击并非孤立事件 ，意软而是再准针对开发者、香港云服务器求职者以及持有加密货币资产或敏感凭证人员的系统持续性攻击行动  。2025年6月至7月期间，朝鲜次瞄攻击者向npm注册表上传了67个恶意软件包，升级生态其中28个携带XORIndex加载器。链恶截至报告发布时，服务器租用意软仍有27个恶意包处于活跃状态
，再准这些软件包累计下载量已超过1.7万次
。系统

XORIndex技术分析

该恶意软件因其采用XOR编码字符串和基于索引的朝鲜次瞄混淆技术而得名 ，其攻击流程分为四个阶段：

(1) 收集主机元数据（主机名、升级生态用户名、模板下载链恶IP地址 、地理位置）

(2) 通过硬编码C2服务器传输数据，包括
：

https://log-writter[.]vercel[.]app/api/ipcheckhttps://soc-log[.]vercel[.]app/api/ipcheck

(3) 使用eval()执行攻击者提供的JavaScript有效载荷

(4) 加载BeaverTail等第二阶段恶意程序，进而获取已知后门程序InvisibleFerret

数据窃取机制

BeaverTail恶意软件会系统扫描以下目标：

加密货币钱包（MetaMask 、Coinbase Wallet等）浏览器扩展程序关键配置文件目录（如/Library/Application Support/Exodus/）macOS钥匙串文件Chromium和Firefox浏览器配置文件

收集的云计算数据被压缩为ZIP文件上传至http://144[.]217[.]86[.]88/uploads，同时还会在内存中加载执行第三阶段恶意程序InvisibleFerret 。

技术演进路径

研究报告详细揭示了XORIndex从基础原型到成熟恶意软件的演变过程：

postcss-preloader：基础信标功能，无混淆措施js-log-print：增加侦察功能但存在IP处理缺陷dev-filterjs：引入ASCII缓冲区的字符串级混淆cronek：完整的高防服务器XOR字符串隐藏 、端点轮换和隐蔽技术安全建议

此次攻击活动展现出朝鲜网络攻击行动的日趋成熟 ，其特征包括：

重复使用硬编码C2基础设施模块化加载器架构针对可信开源生态系统的精准打击

安全专家建议开发者和开源社区保持高度警惕 ，特别防范通过软件供应链渗透和针对特定人群的免费模板定向攻击。