超过15个恶意npm包利用Windows系统部署Vidar恶意软件

Datadog安全研究团队发现了一起针对npm生态系统的复杂供应链攻击，涉及17个恶意软件包共23个版本，旨在向Windows系统投放Vidar信息窃取恶意软件。

这项被归因于威胁行为者集群MUT-4831的攻击活动，代表了基于npm威胁的显著升级，并标志着首次公开披露Vidar恶意软件通过npm包进行分发。

这些恶意软件包伪装成合法的软件开发工具包和库，包括伪造的Telegram机器人助手、图标库以及流行项目（如Cursor和React）的分支版本。尽管在npm注册表上呈现为良性，但这些软件包通过安装期间自动运行的postinstall脚本执行破坏性负载。

发现与初始攻击链

Datadog的安全研究人员于2025年10月21日使用他们的命令行静态分析器GuardDog检测到该活动，该工具用于识别包代码中的可疑签名。

初始检测标记了custom-tg-bot-plan@1.0.1包，揭示了多个恶意指标，包括静默进程执行、可疑网络域和自动安装脚本。

在10月下旬的两个爆发期间，研究人员观察到两名威胁行为者使用npm账户“aartje”和“saliii229911”发布了他们的武器化包。

攻击链遵循在包安装期间执行的简单三步过程：

该活动的某些变体直接在package.json文件中嵌入PowerShell脚本，表明威胁行为者故意多样化其实现以规避检测机制。

每个恶意软件包中提取的可执行文件都被证明是Vidar v2信息窃取器，这是该著名信息窃取器的Go编译变体，最早于2018年作为早期Arkei特洛伊木马的演进版本出现。

与用C/C++编写的传统Vidar样本不同，此变体代表了具有增强功能的新一代恶意软件，可危害受害系统。

一旦执行，Vidar会积极收集敏感数据，包括浏览器凭据、cookie、加密货币钱包和关键系统文件，然后将被盗信息打包成ZIP存档，外泄到命令与控制服务器。

此Vidar变体的独特之处在于其基础设施发现机制，该机制依赖硬编码的Telegram和Steam账户动态检索活动的C2域。恶意软件查询这些社交媒体资料以发现当前运行的基础设施，使威胁行为者能够轮换其命令与控制服务器，而无需更新软件包。

成功窃取数据后，Vidar会从受害系统中删除所有自身痕迹，显著增加了安全团队在入侵后检测和事件响应工作的复杂性。

MUT-4831活动突显了开源软件包生态系统对供应链利用的持续脆弱性。两个威胁行为者账户都是新创建的，并且在发布前仅运行了几天，表明专门为此攻击设置了基础设施。

发现后，npm永久禁止了这两个账户并删除了所有相关软件包，但在此之前恶意软件已经传播到数百个系统。

该活动表明威胁行为者已经认识到npm提供了一个可靠的初始访问向量，可以以最小阻力向数百万下游用户提供恶意软件。

Datadog的供应链防火墙技术提供了一种缓解方法，通过在安装前阻止已知恶意软件包，可能在开始前预防昂贵的事件响应周期。