顽强的“蠕虫”在JavaScript生态系统中，Gucci客户监控和其他网络安全事件

# JavaScript 生态系统中的顽强“蠕虫”、Gucci 客户间谍和其他网络安全事件

我们收集了过去一周网络安全领域最重要的新闻。

• 区块链开发者越来越成为黑客的目标。
• 加拿大警方查获超过 $40 万的加密货币。
• JavaScript生态系统遭到自我复制的“蠕虫”攻击。
• 对汽车工业的攻击可能会影响英国经济。

区块链开发者越来越成为黑客的目标

软件开发者越来越多地吸引了加密窃贼。根据网络安全研究公司 Koi Security 的数据，黑客团体 WhiteCobra 攻击了 VSCode、Cursor 和 Windsurf 的代码开发环境用户。他们在 Visual Studio Marketplace 和 Open VSX 注册表上发布了 24 个恶意扩展。

以太坊的关键开发者扎克·库尔成为“掠夺者”的受害者之一。

我在加密货币领域已经超过10年了，从未被黑过。完美的安全记录。

昨天，我的钱包第一次被一个恶意的 @cursor_ai 扩展程序耗尽。

如果这可以发生在我身上，这也可以发生在你身上。以下是详细分析。🧵👇

— zak.eth (@0xzak) 2025 年 8 月 12 日

他说，网络罪犯通过Cursor的AI代码编辑器插件窃取了加密货币。科尔解释说，该扩展具有无害产品的所有特征：专业设计的徽标、详细描述以及在OpenVSX（Cursor的官方注册表）上的54,000次下载。

在Koi Security看来，WhiteCobra属于同一团体，他们在七月份从一位俄罗斯区块链程序员那里盗取了价值$500,000的数字资产。

«跨平台兼容性和缺乏适当的审核使这些平台成为寻求进行广泛宣传活动的恶意攻击者的理想选择»，——Koi Security报告中提到。

钱包的清空始于执行主文件 extension.js，该文件几乎与每个 VSCode 扩展模板中提供的标准 Hello World 模板相同。接下来，恶意软件根据操作系统的类型解压缩键盘记录软件。

在WhiteCobra的关注焦点中，持有价值在$10,000到$500,000之间的数字资产的用户。分析师认为，该组织能够在不到三个小时内发起新的活动。

合法和假冒开发者扩展的示例。来源：Koi Security。目前，攻击者很难被阻止：尽管恶意插件从OpenVSX中被删除，但新的插件立即出现。

研究人员建议尽量只使用声誉良好的知名项目，并对在短时间内收获大量下载和积极评价的新发布保持谨慎态度。

加拿大警方查获超过 $40 万美元的加密货币

加拿大联邦警察进行了该国历史上最大规模的加密货币没收。区块链侦探ZachXBT对此表示关注。

执法人员从TradeOgre平台没收了价值超过5600万加元的数字资产(~4050万)。该平台关闭交易加密货币成为该国历史上首个此类事件。

调查于2024年6月在欧洲警察局的线索下开始。调查显示，该平台违反了加拿大法律，并未在金融交易和报告分析中心注册为提供货币交换服务的企业。

调查人员有理由相信，进行TradeOgre交易的大部分资金来自犯罪来源。该平台因缺乏强制用户身份识别而吸引了不法分子。

根据警方的声明，从TradeOgre获得的交易数据将被分析以提供指控。调查仍在继续。

JavaScript生态系统遭到自我复制的“蠕虫”攻击

在对NPM平台进行攻击以在JavaScript包中注入恶意软件后，攻击者转向了传播完整“蠕虫”的策略。事件正在升级：截至撰写时，已知有超过500个被攻陷的NPM包。

Shai-Hulud的协调行动于9月15日开始，涉及对NPM包@ctrl/tinycolor的攻击，该包每周下载超过200万次。

根据Truesec分析师的说法，这几天的活动显著扩大，现在包括在CrowdStrike命名空间中发布的包。

根据专家的说法，受损的版本包含一个功能，该功能提取包的tar档案，修改package.json文件，注入本地脚本，重新打包并重新发布。当安装时，脚本会自动执行，下载并启动TruffleHog——一个合法的扫描秘密和寻找令牌的工具。

在 Truesec 看来，攻击正在显著扩大并变得更加复杂。尽管攻击者使用了许多旧的手段，他们却显著改进了自己的方法，使其变成了完全自主的“蠕虫”。恶意软件执行以下操作：

• 收集秘密并在 GitHub 上公开披露它们；
• 执行 TruffleHog 并查询云的元数据端点以提取机密凭据；
• 尝试实施 GitHub Actions 工作流，旨在通过 webhook.site 进行数据外泄；
• 列出所有可用的 GitHub 存储库，供被攻击的用户使用，并强制将其公开。

这次攻击的一个显著特征是它的风格。它不是依赖于一个被感染的对象，而是自动扩散到所有的NPM包。

对汽车工业的攻击可能会影响英国经济

捷豹路虎(JLR)已经连续三周无法恢复生产，原因是网络攻击。这家豪华汽车制造商表示，其生产线至少停滞到9月24日。

公司确认，攻击者从其网络中窃取了信息，但尚未将攻击责任归咎于特定的黑客组织。

根据BleepingComputer的报道，网络犯罪团伙Scattered Lapsus$ Hunters声称参与了网络攻击，并在Telegram频道上发布了JLR内部系统的截图。该帖子声称，黑客还在公司被攻破的基础设施上部署了勒索软件。

根据BBC的统计，每周的停工至少给公司造成5000万英镑的损失(~$6800万)。而《每日电讯报》则估计同一时期的损失约为1亿美元。JLR的供应商担心他们无法应对突发的危机，并对破产表示担忧。

"伟大的中国防火墙"的秘密数据已公开

9月12日，Great Firewall Report团队的研究人员报告了历史上最大规模的“伟大中国防火墙”数据泄露事件。

网络上泄露了约600GB的内部文件、源代码和开发人员的内部通信，这些用于创建和维护中国国家流量过滤系统。

根据研究人员的说法，泄露内容包括完整的流量跟踪平台构建系统以及负责识别和减缓特定绕过封锁工具的模块。大部分技术栈旨在检测中国禁止的VPN。

Great Firewall Report的专家声称，部分文档与Tiangou平台有关——这是一个面向服务提供商和边界网关的商业产品。专家认为，该程序的早期版本是在HP和Dell的服务器上部署的。

此外，披露的文件中提到在缅甸的26个数据中心安装了该软件。该系统据称由国家电信公司管理，并集成到主要的互联网流量交换点，这使得既可以进行大规模封锁，也可以进行选择性过滤。

根据Wired和大赦国际的报道，该基础设施还出口到巴基斯坦、埃塞俄比亚、哈萨克斯坦以及其他国家，与其他合法流量截获平台一起使用。

豪华产品消费者在黑客的监视下

9月15日，多个奢侈品牌的拥有者Kering集团确认了数据泄露事件，影响了其子公司Gucci、Balenciaga、Alexander McQueen和Yves Saint Laurent的客户。

根据BBC的报道，黑客窃取了个人数据，包括姓名、电子邮件地址、电话号码、家庭地址，以及全球各地顾客在商店消费的总金额。

此次攻击的背后，可能是黑客组织ShinyHunters，该组织声称窃取了至少700万人的个人数据，但受害者的数量可能远高于此。

该组织还被怀疑与在Salesforce上托管的多个数据库的盗窃有关。包括Allianz Life、Google、Qantas和Workday在内的几家公司确认，由于这些大规模的黑客攻击，数据被盗。

也请阅读 ForkLog：

• CZ警告关于来自朝鲜的“伪装员工”的威胁。
• 更新的诉讼揭示了对比特币交易所Coinbase的黑客攻击细节。
• 在以太坊网络上，有价值2600万美元的DYDX代币被“卡住”了。
• 以色列要求冻结与恐怖分子相关的150万USDT。
• Monero 发生了12年来最大的区块重组。
• Shibarium 桥被黑客攻击，损失约 ~$2.3 百万。

周末读些什么？

ForkLog研究了以太坊隐私管理者的提案——以太坊基金会新成立的团队——并介绍了该机构的员工如何计划在网络的各个层面实施隐私，直到应用程序。