研究人員發現針對主要金融機構的加密npm惡意軟件包

2023年11月上旬，研究人員開始跟蹤npm上的可疑出版物。有問題的包包含一個加密的blob，該blob似乎是針對目標計算機的密鑰：只有使用一些本地計算機信息和解密密鑰才能解密。然后將解密的blob傳遞給eval(...)執行。研究人員解密此負載，發現密鑰是一家主要金融機構的domain.tld。此解密的有效負載包含一個嵌入的二進制文件，該二進制文件巧妙地將用戶憑據泄露到相關目標公司內部的Microsoft Teams Webhook2。這表明存在內部工作、非常好的內部紅隊模擬或在網絡中擁有強大立足點的外部攻擊者。