XRP Ledger SDK遭供应链攻击，，，，恶意NPM版本窃取私钥

首页 > 清静研究 > 清静转达 > 清静简讯

XRP Ledger SDK遭供应链攻击，，，，恶意NPM版本窃取私钥

宣布时间 2025-04-25

1. XRP Ledger SDK遭供应链攻击，，，，恶意NPM版本窃取私钥

4月24日，，，，XRPLedgerSDK克日遭受了严重的供应链攻击，，，，攻击者通过入侵官方xrpl节点包管理器（NPM）软件包，，，，植入恶意代码以窃取用户私钥，，，，进而控制其加密钱币钱包。。此次攻击由Aikido英特尔威胁检测系统发明，，，，该系统监测到NPM上新宣布的五个xrpl软件包版本（4.2.4、4.2.3、4.2.2、4.2.1和2.14.2）保存异常，，，，其每周下载量凌驾14万次，，，，而这些版本在GitHub上并无对应正当版本，，，，且其时GitHub上最新正当版本号为4.2.0，，，，差别引发了清静担心。。进一程序查发明，，，，恶意软件包4.2.4版本的src/index.ts文件中，，，，保存一个名为checkValidityOfSeed的异常函数，，，，该函数会向一个新建设的生疏域名发送HTTP POST请求，，，，此域名注册信息可疑。。恶意代码在要害函数中被挪用，，，，如Wallet类的结构函数，，，，导致在应用程序实例化Wallet工具时，，，，用户的私钥可能被发送至攻击者效劳器。。早期恶意版本（4.2.1和4.2.2）将恶意代码引入构建的JavaScript文件中，，，，并删除了package.json文件中的剧本和Prettier设置；；；；；；此后续版本（4.2.3和4.2.4）则将恶意代码直接集成到TypeScript源代码中，，，，以规避检测。。官方xrpl已宣布两个新的清静版本（4.2.5和2.14.3），，，，强烈建议用户连忙更新以降低危害。。

https://hackread.com/backdoor-found-in-official-xrp-ledger-npm-package/

2. 黑客滥用OAuth 2.0挟制Microsoft 365账户

4月24日，，，，俄罗斯威胁行为者一连使用正当OAuth 2.0身份验证流程，，，，对与乌克兰及人权相关组织员工的Microsoft 365帐户提倡攻击。。网络清静公司Volexity自3月初起便监测到此类活动，，，，此前其与微软在2月就曾报告过使用装备代码身份验证网络垂纶窃取Microsoft 365帐户的类似行动。。Volexity追踪发明，，，，相关威胁行为者UTA0352和UTA0355均为俄罗斯人。。攻击始于Signal或WhatsApp的一条新闻，，，，新闻可能来自被盗的乌克兰政府账户。。UTA0352会以PDF文件形式分享聚会说明及恶意URL，，，，指导用户登录使用Microsoft 365 OAuth事情流的Microsoft和第三方应用程序。。目的完成身份验证后，，，，会被重定向到特定页面，，，，该页面可吸收含OAuth的登录参数。。攻击者使用社会工程学诱骗受害者发回授权码，，，，此代码有用期60天，，，，可获取用户“通�？？？？捎玫乃凶试础钡幕峒钆啤！１鸬模�，，研究还发明，，，，4月归因于UTA0355的活动与UTA0352类似，，，，但初始通讯来自被入侵的乌克兰政府电子邮件账户，，，，攻击者会使用窃取的OAuth授权码将新装备注册到受害者的Microsoft Entra ID，，，，并想法让目的批准双因素身份验证请求，，，，以获取会见权限和维持恒久不法会见。。

https://www.bleepingcomputer.com/news/security/hackers-abuse-oauth-20-workflows-to-hijack-microsoft-365-accounts/

3. 朝鲜Lazarus组织Operation SyncHole特工活动

4月24日，，，，污名昭著的朝鲜威胁组织Lazarus提倡了一次针对韩国多领域的特工活动，，，，卡巴斯基将其命名为“Operation SyncHole”。。此次活动在2024年11月至2025年2月时代至少危害了韩国软件、IT、金融、半导体制造和电信等领域的六个组织，，，，且鉴于其使用软件的盛行水平，，，，受影响组织或遍布更普遍行业。。攻击伊始，，，，目的会见韩国正当媒体门户网站时，，，，Lazarus使用效劳器端剧本入侵这些网站，，，，剖析会见者并重定向有用目的至恶意域。。受害者常被重定向到模拟软件供应商（如Cross EX分销商）的虚伪网站，，，，Cross EX可使韩国人在网络浏览器中使用清静软件举行网上银行和与政府网站互动。。只管使用Cross EX撒播恶意软件的详细要领尚不明确，，，，但研究职员确认攻击历程多以高完整性级别执行，，，，批注攻击者提升了权限。。虚伪网站上的恶意JavaScript借助Cross EX软件撒播恶意软件，，，，误差使用程序会启动正当的“SyncHost.exe”历程并注入shellcode，，，，加载“ThreatNeedle”后门，，，，该后门能在受熏染主机上执行37条下令，，，，用于安排多种恶意程序。。

https://www.bleepingcomputer.com/news/security/lazarus-hackers-breach-six-companies-in-watering-hole-attacks/

4. 耶鲁纽黑文医疗中心数据泄露影响550万患者

4月24日，，，，耶鲁纽黑文康健中心（YNHHS）近期遭遇网络攻击，，，，导致550余万名患者小我私家信息泄露。。2025年3月8日，，，，YNHHS发明其信息手艺（IT）系统泛起异�；；；；；；疃�，，随即接纳步伐控制事务并睁开视察，，，，还向执法部分报告。。视察发明，，，，未经授权的第三方于当日会见其网络并获取部分数据副本。。在网络清静公司Mandiant协助下，，，，3月11日该网络清静事务影响IT效劳的问题迅速获得控制，，，，患者照顾护士和医疗纪录未受影响，，，，但恢复事情中仍保存一些互联网和应用程序会见问题。。4月11日，，，，YNHHS披露数据泄露事务，，，，称威胁行为者窃取了患者敏感信息，，，，被盗数据因患者而异，，，，包括姓名、出生日期、家庭住址、电话号码、电子邮件、种族/民族、社会清静号码（SSN）、患者类型、病历编号等，，，，但不包括财务信息、医疗纪录或治疗细节。。该机构强调事务未影响其为患者提供照顾护士的能力。。自4月14日起，，，，YNHHS将向受影响患者邮寄信件。。虽现在未报告数据被滥用情形，，，，但已为涉及社保号码的患者提供免费信用监控，，，，并设立专门呼叫中心解答相关问题。。

https://securityaffairs.com/176937/data-breach/yale-new-haven-health-ynhhs-data-breach-impacted-5-5-million-patients.html

5. 弗雷德里克康健中心数据泄露影响近百万患者

4月24日，，，，今年1月，，，，马里兰州大型医疗保健提供商弗雷德里克康健医疗集团遭遇勒索软件攻击，，，，引发数据泄露，，，，致使近百万患者信息受影响。。3月尾，，，，该医疗系统向患者发出通知，，，，透露勒索软件攻击于1月27日被检测到。。发明攻击后，，，，弗雷德里克康健中心迅速行动，，，，通知执法部分并约请第三方取证公司，，，，对事务影响睁开视察。。其声明指出，，，，2025年1月27日，，，，该中心遭遇勒索软件事务，，，，IT系统受影响，，，，视察发明一名未经授权职员会见网络，，，，并于当日从文件共享效劳器复制了部分文件。。同时，，，，该中心体现正为信息可能被泄露且掌握足够联系信息的小我私家邮寄信件。。此次数据泄露涉及规模普遍，，，，攻击者凭证受影响职员差别，，，，窃取了包括姓名、地点、出生日期、社保号码、驾照号码等在内的敏感小我私家信息，，，，以及病历号、康健包管信息、与患者照顾护士相关的临床信息等小我私家康健信息。。只管弗雷德里克康健中心未宣布受影响详细人数，，，，但3月28日已向美国卫生与公众效劳部报告此事。。现在，，，，卫生与公众效劳部更新报告泄露事务列表，，，，确认此次事务影响934,326名患者。。

https://www.bleepingcomputer.com/news/security/frederick-health-data-breach-impacts-nearly-1-million-patients/

6. 马塔罗供水公司遭网络攻击，，，，客户信息或泄露

4月24日，，，，西班牙认真饮用水和污水处置惩罚的供水公司Aigües de Mataró（艾格斯德马塔罗）于周三宣布，，，，其公司盘算机系统和网站遭受网络攻击。。该公司效劳的马塔罗是加泰罗尼亚的一个沿海城镇，，，，生齿约13万，，，，位于巴塞罗那以北约19英里处，，，，马塔罗市政公司明确体现，，，，此次攻击未对供水自己和质量控制系统造成影响。。艾格斯德马塔罗在官方声明中称，，，，此次攻击于周一被发明，，，，公司已第一时间向加泰罗尼亚警方以及自治区网络清静机构报告。。作为现有应急妄想的一部分，，，，该公司迅速实验内部控制步伐，，，，以减轻攻击带来的影响，，，，并起劲与加泰罗尼亚政府相助，，，，全力恢复受影响的基础设施。。不过，，，，艾格斯德马塔罗也向客户发出忠言，，，，公司持有的一系列小我私家信息，，，，涵盖财务和小我私家信息等，，，，可能已在攻击中泄露。。为此，，，，公司勉励客户坚持小心，，，，提防使用这些泄露数据提倡的网络垂纶攻击。。同时，，，，公司坦言此次攻击会给现在无法会见公司效劳的用户带来未便，，，，用户可能会遭遇计费和其他行政程序的延迟。。

https://therecord.media/cyberattack-water-supplier-barcelona-spain

7*24小时效劳热线

400-624-3900

官方微信

官方微博

网御星云合众数据书生电子云子可信

执法声明

人生就是博

网络清静防护

网络清静检测

应用清静

数据清静

清静治理

云清静

工控清静

移动及终端清静

密码应用清静

专业清静效劳

清静运营中心

知白学院

威胁情报中心

清静转达

研究报告

清静团队

渠道系统

售后效劳

升级通告

软件升级

公司概况

新闻动态

手艺专题

人才招聘

投资者关系

资源中心

联系人生就是博

清静研究