研究人员发现针对主要金融机构的加密npm恶意软件包

2023年11月上旬，研究人员开始跟踪npm上的可疑出版物。有问题的包包含一个加密的blob，该blob似乎是针对目标计算机的密钥：只有使用一些本地计算机信息和解密密钥才能解密。然后将解密的blob传递给eval(...)执行。研究人员解密此负载，发现密钥是一家主要金融机构的domain.tld。此解密的有效负载包含一个嵌入的二进制文件，该二进制文件巧妙地将用户凭据泄露到相关目标公司内部的Microsoft Teams Webhook2。这表明存在内部工作、非常好的内部红队模拟或在网络中拥有强大立足点的外部攻击者。