頑強的“蠕蟲”在JavaScript生態系統中，Gucci客戶監控和其他網路安全事件

# JavaScript 生態系統中的頑強“蠕蟲”、Gucci 客戶間諜和其他網路安全事件

我們收集了過去一周網路安全領域最重要的新聞。

• 區塊鏈開發者越來越成爲黑客的目標。
• 加拿大警方查獲超過 $40 萬的加密貨幣。
• JavaScript生態系統遭到自我復制的“蠕蟲”攻擊。
• 對汽車工業的攻擊可能會影響英國經濟。

區塊鏈開發者越來越成爲黑客的目標

軟件開發者越來越多地吸引了加密竊賊。根據網路安全研究公司 Koi Security 的數據，黑客團體 WhiteCobra 攻擊了 VSCode、Cursor 和 Windsurf 的代碼開發環境用戶。他們在 Visual Studio Marketplace 和 Open VSX 註冊表上發布了 24 個惡意擴展。

以太坊的關鍵開發者扎克·庫爾成爲“掠奪者”的受害者之一。

我在加密貨幣領域已經超過10年了，從未被黑過。完美的安全記錄。

昨天，我的錢包第一次被一個惡意的 @cursor_ai 擴展程序耗盡。

如果這可以發生在我身上，這也可以發生在你身上。以下是詳細分析。🧵👇

— zak.eth (@0xzak) 2025 年 8 月 12 日

他說，網路罪犯通過Cursor的AI代碼編輯器插件竊取了加密貨幣。科爾解釋說，該擴展具有無害產品的所有特徵：專業設計的徽標、詳細描述以及在OpenVSX（Cursor的官方註冊表）上的54,000次下載。

在Koi Security看來，WhiteCobra屬於同一團體，他們在七月份從一位俄羅斯區塊鏈程序員那裏盜取了價值$500,000的數字資產。

«跨平台兼容性和缺乏適當的審核使這些平台成爲尋求進行廣泛宣傳活動的惡意攻擊者的理想選擇»，——Koi Security報告中提到。

錢包的清空始於執行主文件 extension.js，該文件幾乎與每個 VSCode 擴展模板中提供的標準 Hello World 模板相同。接下來，惡意軟件根據操作系統的類型解壓縮鍵盤記錄軟件。

在WhiteCobra的關注焦點中，持有價值在$10,000到$500,000之間的數字資產的用戶。分析師認爲，該組織能夠在不到三個小時內發起新的活動。

合法和假冒開發者擴展的示例。來源：Koi Security。目前，攻擊者很難被阻止：盡管惡意插件從OpenVSX中被刪除，但新的插件立即出現。

研究人員建議盡量只使用聲譽良好的知名項目，並對在短時間內收獲大量下載和積極評價的新發布保持謹慎態度。

加拿大警方查獲超過 $40 萬美元的加密貨幣

加拿大聯邦警察進行了該國歷史上最大規模的加密貨幣沒收。區塊鏈偵探ZachXBT對此表示關注。

執法人員從TradeOgre平台沒收了價值超過5600萬加元的數字資產(~4050萬)。該平台關閉交易加密貨幣成爲該國歷史上首個此類事件。

調查於2024年6月在歐洲警察局的線索下開始。調查顯示，該平台違反了加拿大法律，並未在金融交易和報告分析中心註冊爲提供貨幣交換服務的企業。

調查人員有理由相信，進行TradeOgre交易的大部分資金來自犯罪來源。該平台因缺乏強制用戶身分識別而吸引了不法分子。

根據警方的聲明，從TradeOgre獲得的交易數據將被分析以提供指控。調查仍在繼續。

JavaScript生態系統遭到自我復制的“蠕蟲”攻擊

在對NPM平台進行攻擊以在JavaScript包中注入惡意軟件後，攻擊者轉向了傳播完整“蠕蟲”的策略。事件正在升級：截至撰寫時，已知有超過500個被攻陷的NPM包。

Shai-Hulud的協調行動於9月15日開始，涉及對NPM包@ctrl/tinycolor的攻擊，該包每週下載超過200萬次。

根據Truesec分析師的說法，這幾天的活動顯著擴大，現在包括在CrowdStrike命名空間中發布的包。

根據專家的說法，受損的版本包含一個功能，該功能提取包的tar檔案，修改package.json文件，注入本地腳本，重新打包並重新發布。當安裝時，腳本會自動執行，下載並啓動TruffleHog——一個合法的掃描祕密和尋找令牌的工具。

在 Truesec 看來，攻擊正在顯著擴大並變得更加復雜。盡管攻擊者使用了許多舊的手段，他們卻顯著改進了自己的方法，使其變成了完全自主的“蠕蟲”。惡意軟件執行以下操作：

• 收集祕密並在 GitHub 上公開披露它們；
• 執行 TruffleHog 並查詢雲的元數據端點以提取機密憑據；
• 嘗試實施 GitHub Actions 工作流，旨在通過 webhook.site 進行數據外泄；
• 列出所有可用的 GitHub 存儲庫，供被攻擊的用戶使用，並強制將其公開。

這次攻擊的一個顯著特徵是它的風格。它不是依賴於一個被感染的對象，而是自動擴散到所有的NPM包。

對汽車工業的攻擊可能會影響英國經濟

捷豹路虎(JLR)已經連續三周無法恢復生產，原因是網路攻擊。這家豪華汽車制造商表示，其生產線至少停滯到9月24日。

公司確認，攻擊者從其網路中竊取了信息，但尚未將攻擊責任歸咎於特定的黑客組織。

根據BleepingComputer的報道，網路犯罪團夥Scattered Lapsus$ Hunters聲稱參與了網路攻擊，並在Telegram頻道上發布了JLR內部系統的截圖。該帖子聲稱，黑客還在公司被攻破的基礎設施上部署了勒索軟體。

根據BBC的統計，每週的停工至少給公司造成5000萬英鎊的損失(~$6800萬)。而《每日電訊報》則估計同一時期的損失約爲1億美元。JLR的供應商擔心他們無法應對突發的危機，並對破產表示擔憂。

"偉大的中國防火牆"的祕密數據已公開

9月12日，Great Firewall Report團隊的研究人員報告了歷史上最大規模的“偉大中國防火牆”數據泄露事件。

網路上泄露了約600GB的內部文件、原始碼和開發人員的內部通信，這些用於創建和維護中國國家流量過濾系統。

根據研究人員的說法，泄露內容包括完整的流量跟蹤平台構建系統以及負責識別和減緩特定繞過封鎖工具的模塊。大部分技術棧旨在檢測中國禁止的VPN。

Great Firewall Report的專家聲稱，部分文檔與Tiangou平台有關——這是一個面向服務提供商和邊界網關的商業產品。專家認爲，該程序的早期版本是在HP和Dell的服務器上部署的。

此外，披露的文件中提到在緬甸的26個數據中心安裝了該軟件。該系統據稱由國家電信公司管理，並集成到主要的互聯網流量交換點，這使得既可以進行大規模封鎖，也可以進行選擇性過濾。

根據Wired和大赦國際的報道，該基礎設施還出口到巴基斯坦、埃塞俄比亞、哈薩克斯坦以及其他國家，與其他合法流量截獲平台一起使用。

豪華產品消費者在黑客的監視下

9月15日，多個奢侈品牌的擁有者Kering集團確認了數據泄露事件，影響了其子公司Gucci、Balenciaga、Alexander McQueen和Yves Saint Laurent的客戶。

根據BBC的報道，黑客竊取了個人數據，包括姓名、電子郵件地址、電話號碼、家庭地址，以及全球各地顧客在商店消費的總金額。

此次攻擊的背後，可能是黑客組織ShinyHunters，該組織聲稱竊取了至少700萬人的個人數據，但受害者的數量可能遠高於此。

該組織還被懷疑與在Salesforce上托管的多個數據庫的盜竊有關。包括Allianz Life、Google、Qantas和Workday在內的幾家公司確認，由於這些大規模的黑客攻擊，數據被盜。

也請閱讀 ForkLog：

• CZ警告關於來自朝鮮的“僞裝員工”的威脅。
• 更新的訴訟揭示了對比特幣交易所Coinbase的黑客攻擊細節。
• 在以太坊網路上，有價值2600萬美元的DYDX代幣被“卡住”了。
• 以色列要求凍結與恐怖分子相關的150萬USDT。
• Monero 發生了12年來最大的區塊重組。
• Shibarium 橋被黑客攻擊，損失約 ~$2.3 百萬。

周末讀些什麼？

ForkLog研究了以太坊隱私管理者的提案——以太坊基金會新成立的團隊——並介紹了該機構的員工如何計劃在網路的各個層面實施隱私，直到應用程序。