GoPlus 警告 26 個惡意 npm 套件疑與「Famous Chollima」行動有關

GoPlus 中文社區 3 月 3 日在 X 發文警告，npm 註冊表中出現 26 個疑似與北韓駭客相關的惡意套件，每個套件均包含一個「install.js」腳本，會在安裝過程中執行並觸發「vendor/scryptjs/version.js」中的有害代碼。該代碼透過單一惡意 URL 下載並運行遠端存取木馬，可執行按鍵記錄、剪貼簿數據竊取、瀏覽器憑證採集、基於 TruffleHog 的密鑰掃描、Git 儲存庫滲出及 SSH 密鑰盜取，屬於「Famous Chollima」駭客行動的一部分。用戶與開發者應在安裝前驗證套件來源與安全性，避免使用以下 26 個 npm 套件以降低隱私洩露或資產損失風險：argonist@0.41.0、bcryptance@6.5.2、beequarl@2.1.2、bubblecore@6.26.2、corstoken@2.14.7、daytonjs@1.11.20、etherlint@5.9.4、expressjslint@5.3.2、fastifylint@5.8.0、formmiderable@3.5.7、hapilint@19.1.2、iosysredis@5.13.2、jslintconfig@10.22.2、jsnwebapptoken@8.40.2、kafkajslint@2.21.3、loadashlint@4.17.24、mqttoken@5.40.2、prismlint@7.4.2、promanage@6.0.21、sequelization@6.40.2、typoriem@0.4.17、undicylint@7.23.1、uuindex@13.1.0、vitetestlint@4.1.21、windowston@3.19.2、zoddle@4.4.2。