微软警告恶意 npm 软件包窃取加密货币钱包凭据

微软威胁情报发现了两个遭篡改的 npm 包，正在向开发者和加密货币用户分发远程访问木马（RAT）恶意软件。这些恶意包被识别为 utils-terminal@3.2.1 和 logger-active@3.2.1，会从受感染系统中窃取按键记录、截图以及加密货币钱包凭证。攻击者使用 Hugging Face 仓库来外传被窃取的信息，从而让安全团队更难发现。该活动面向包含基于浏览器的加密货币钱包的开发者工作站，目标包括私钥、交易所 API 凭证以及云服务凭证。此次发现属于持续的软件供应链风险的一部分，影响到在开发机器上存储敏感资产的开发者和加密货币用户。

微软识别出分发 RAT 木马的恶意 npm 包

微软警告称，网络犯罪分子正通过隐藏在公共 npm 包中的恶意软件，瞄准开发者和加密货币用户。根据微软威胁情报，两处遭篡改的 npm 包被发现正在分发远程访问木马（RAT），它们被识别为 utils-terminal@3.2.1 和 logger-active@3.2.1，能够从受感染系统中窃取敏感信息。

据称，这些恶意包被设计为收集广泛的数据类型，包括按键记录、截图、加密货币钱包凭证以及其他机密信息。由于 npm 是 JavaScript 开发者最广泛使用的软件注册表之一，该威胁可能影响大量用户——他们在构建应用或 Web 服务时，在不知情的情况下安装了遭篡改的依赖项。

攻击者通过 Hugging Face 平台转出被窃取数据

微软解释称，攻击者在数据外传过程中使用了 Hugging Face，这是一款用于人工智能和机器学习项目的热门平台。通过将被窃取的信息路由到受信任的平台，恶意活动的可疑程度可能低于与传统指挥与控制（C2）服务器的通信，从而让安全团队更难发现。

恶意软件瞄准加密货币钱包和开发者凭证

对加密货币开发者和投资者而言，这项威胁尤其令人担忧。开发者工作站通常包含基于浏览器的加密货币钱包、私钥、助记词备份、交易所 API 凭证、GitHub access tokens 以及云服务凭证。如果攻击者获取了这些资产，他们可能会危及加密货币持仓、开发环境、交易系统以及代码仓库。

活动与先前的软件供应链攻击相关联

微软的调查结果也与针对软件供应链的攻击趋势相吻合。今年 5 月，安全研究人员发现 TrapDoor 恶意软件活动，该活动通过 npm、PyPI 和 Rust 仓库中的数十个恶意包传播。该行动通过尝试窃取钱包数据、云凭证、API 密钥以及 SSH 访问，专门瞄准了加密货币与人工智能开发者。

最新警告也延续了微软此前另一份关于加密劫持（cryptojacking）恶意软件的近期报告。据称，在那次活动中，攻击者利用投毒的搜索结果，并操纵 AI 聊天机器人交互，引导用户下载伪造的软件。安装后，恶意程序在受害者不知情的情况下利用系统资源挖掘加密货币。

安全专家建议轮换凭证并审查数据包

安全专家建议开发者仔细审查新安装的数据包，移除可疑依赖项，轮换可能已暴露的凭证，并监控钱包活动以发现未授权交易。也建议加密货币用户避免在联网设备上存储助记词，并在批准任何钱包交易之前彻底核验所有钱包交易。

常见问题

微软发现了哪些恶意 npm 包？

微软威胁情报识别出两个遭篡改的 npm 包：utils-terminal@3.2.1 和 logger-active@3.2.1。这些包会分发远程访问木马恶意软件，能够从受感染系统中窃取按键记录、截图、加密货币钱包凭证以及其他机密信息。

攻击者如何从受感染系统中外传被窃取的数据？

攻击者在数据外传过程中使用了 Hugging Face，这是一款用于人工智能和机器学习项目的热门平台。通过将被窃取的信息路由到受信任的平台，恶意活动的可疑程度可能低于与传统指挥与控制（C2）服务器的通信，从而让安全团队更难发现。

专家建议开发者采取哪些安全措施？

安全专家建议开发者仔细审查新安装的数据包，移除可疑依赖项，轮换可能已暴露的凭证，并监控钱包活动以发现未授权交易。也建议加密货币用户避免在联网设备上存储助记词，并在批准任何钱包交易之前彻底核验所有钱包交易。