Tropidoor 后门：针对开发人员的网络威胁

网络安全研究人员发现了名为 Tropidoor 的后门恶意软件，该恶意软件与针对开发人员的复杂网络间谍活动有关。这款恶意软件归因于朝鲜威胁行为者，是利用恶意 npm 包破坏开发人员环境的更广泛行动的一部分。了解 Tropidoor 的机制和影响对于网络安全专业人员和开发人员都至关重要。

什么是 Tropidoor？

Tropidoor 是一款基于 Windows 的后门程序，通过初始下载程序运行，允许其执行来自远程命令与控制 (C2) 服务器的命令。一旦激活，该恶意软件便可让攻击者窃取文件、检索系统和驱动器详细信息、操纵进程、捕获屏幕截图，甚至通过使用垃圾数据覆盖文件来删除或擦除文件。它通过利用 Windows 实用程序（例如任务调度 (schtasks)、注册表修改和网络命令）实现持久性。

这种恶意软件是在分析以招聘为主题的网络钓鱼活动时发现的。该活动针对韩国的开发人员，使用欺诈性的求职面试邀请，这是一种引诱受害者下载受感染的 npm 软件包的策略。这些软件包包含 BeaverTail 恶意软件，这是一种已知的基于 JavaScript 的信息窃取程序，随后在受感染的系统上部署了 Tropidoor。

Tropidoor 是如何传播的？

攻击者一直利用 npm 软件包注册表作为分发媒介，将恶意代码注入看似合法的开发人员实用程序和调试工具中。其中一些软件包包括：

• 空数组验证器
• 推特API
• 开发调试器-vite
• 打鼾记录
• 核心皮诺
• 事件实用程序
• icloud-cod
• cln-记录器
• 节点堵塞
• 整合日志
• 整合记录器

这些软件包在被删除之前总共被下载了数千次，凸显了该活动的广泛性。感染策略的一个关键要素是将其中一些软件包链接到 Bitbucket 上托管的存储库，而不是更常用的 GitHub，从而进一步混淆它们的来源和意图。

Tropidoor 有何影响？

Tropidoor 的出现带来了一些严重的风险，特别是对于依赖开源依赖项的软件开发人员和组织而言。以下是主要影响：

1. 对软件供应链的威胁

npm 软件包的渗透凸显了现代软件供应链的脆弱性。攻击者利用人们对广泛使用的开发工具的信任来传播恶意软件，然后恶意软件可以在企业环境中传播。

2. 威胁行为者的长期访问权限

Tropidoor 可实现对受感染系统的持续访问。通过控制受感染的机器，攻击者可以进行长期间谍活动、收集敏感信息，并可能破坏运营。

3. 数据窃取和系统操纵

Tropidoor 具有截取屏幕截图、列出文件和窃取敏感数据的功能，因此会带来严重的数据安全风险。此外，它还具有不可逆转地删除文件的功能，这可能会导致系统损坏或妨碍取证调查。

4. 逃避技术

为了避免被发现，该恶意软件采用了高级混淆方法，包括十六进制字符串编码和通过 eval() 执行动态 JavaScript。这使得自动化安全工具很难在早期阶段识别和消除威胁。

降低风险

组织和开发人员可以采取各种措施来防范 Tropidoor 和类似的威胁：

• 仔细检查 npm 软件包：在安装 npm 软件包之前，请验证其来源、维护者和代码完整性。请谨慎对待最近发布或文档记录不全的软件包。
• 监控网络流量：注意可疑的出站通信，这可能表明恶意软件正在访问 C2 服务器。
• 使用端点保护解决方案：部署可以检测和阻止远程访问木马 (RAT) 和其他形式的恶意软件的安全工具。
• 教育员工：对开发人员和 IT 人员进行有关网络钓鱼策略和软件供应链安全的意识培训有助于防止社会工程攻击。
• 限制权限：限制开发人员工作站的管理访问，以降低潜在危害的影响。

最后的想法

Tropidoor 的发现凸显了受国家支持的网络攻击者针对开发者和软件供应链的攻击策略的不断演变。通过在 npm 包中嵌入恶意代码并使用社交工程策略，攻击者可以在关键开发环境中立足。组织必须保持警惕，采取强大的安全措施，并持续监控新出现的威胁，以减轻 Tropidoor 等复杂恶意软件活动带来的风险。