网络安全威胁情报月报:剖析供应链攻击与恶意软件活动

LevelBlue SpiderLabs发布的2025年12月威胁情报月报,深入分析了 npm 生态中的Shai-Hulud 2.0供应链攻击、Rhadamanthys信息窃取器基础设施的执法打击行动,并介绍了最新的威胁追踪能力与检测规则更新。

LevelBlue SpiderLabs 2025年12月威胁情报

LevelBlue SpiderLabs 是 LevelBlue 的威胁情报部门,由全球威胁研究人员和数据科学家团队组成,结合专有的数据分析和机器学习 (ML) 技术,分析全球最大、最多样化的威胁数据集合之一。我们的研究团队提供战术威胁情报,为弹性威胁检测和响应提供支持——即使组织的攻击面扩大、技术演进、对手改变其战术、技术和程序。

LevelBlue SpiderLabs 更新为您带来最新的威胁新闻,包括 USM Anywhere 检测功能的最新更新,以及发布在 LevelBlue SpiderLabs Open Threat Exchange (OTX) 中的新威胁情报。OTX 是全球最大的开放威胁情报共享社区之一。

LevelBlue SpiderLabs 威胁情报新闻

Npm供应链攻击:Shai-Hulud 再次来袭 早在2025年9月23日,CISA 就曾警告过一次影响 500 个 npm 软件包的广泛供应链攻击。这种自我复制的蠕虫病毒以用于上传凭据的一个仓库名称命名为 “Shai-Hulud”。本月,Shai-Hulud 2.0 蠕虫卷土重来,致使 JavaScript 生态系统面临其最激进的供应链攻击之一,已有超过 700 个 npm 软件包被感染。

在11月21日至24日期间,Shai-Hulud 背后的威胁行为者将数百个流行软件包(包括来自 Zapier、ENS Domains、PostHog、Postman 和 AsyncAPI 的软件包)木马化,注入了恶意的预安装脚本,这些脚本在安装完成前执行。该情况最初由 Wiz 报告。这种策略使得攻击者能够提前访问开发环境和 CI/CD 流水线,从而实现大规模的凭据窃取。被盗的密钥包括 GitHub 令牌、npm 凭据和多云 API 密钥,这些密钥被外泄到攻击者控制的、标记为 “Shai-Hulud: The Second Coming” 的 GitHub 仓库。

与第一次攻击相比,这次的影响呈指数级增长:超过 25,000 个仓库被入侵,数百个 npm 软件包被感染,数千个密钥暴露。蠕虫的自我传播特性使每个受害者都成为了放大器——重新发布恶意版本并注入用于远程命令执行的恶意 GitHub 工作流。这次攻击代表了开源生态系统的系统性风险,因为即使是一个单一的受损依赖项也可能波及数千个下游项目。建议组织审计依赖项、清除 npm 缓存、轮换所有凭据、强制启用多因素认证 (MFA),并加固 CI/CD 流水线以防止进一步传播。

Operation Endgame:Rhadamanthys 信息窃取器被捣毁 11月中旬,执法机构通过对 Rhadamanthys 基础设施的打击,对网络犯罪生态系统造成了重大打击。Rhadamanthys 是最猖獗的信息窃取恶意软件家族之一。在 “Operation Endgame” 行动下协调,Europol 和 Eurojust——连同来自 11 个国家的当局以及超过 30 个私营部门合作伙伴——在 11 月 10 日至 14 日期间查封了 1,025 台服务器和 20 个域名。被捣毁的基础设施支持了数十万台受感染系统,并包含数百万被盗凭据和对超过 100,000 个加密货币钱包的访问权限,这些钱包可能价值数百万欧元。

Rhadamanthys 作为恶意软件即服务平台运作,向网络犯罪分子提供订阅模式,用于凭据窃取、浏览器数据收集和加密货币钱包外泄。其隐秘性和可扩展性使其成为勒索软件运营商和访问代理的基石。

追踪、检测与狩猎能力 LevelBlue SpiderLabs 团队创建了以下对手追踪器,以自动识别和检测已部署的恶意基础设施:ClearFake, ValleyRAT, SystemBC, PureLogs, TinyLoader。此外,以下追踪器已更新:StealC, Tycoon2FA, 和 XWorm。

ClearFake 是一个部署在受感染网站(最常见的是 WordPress)上的恶意 JavaScript 框架,用于传递欺骗性的浏览器更新提示和虚假验证页面,例如 FakeCAPTCHA。这种恶意软件依赖庞大且快速移动的基础设施。自本月初被添加为追踪目标以来,ClearFake 的活动激增,占据了该追踪器统计数据的近四分之三。其规模和适应性使其成为当前观察到的最突出的基于网络的恶意软件活动之一。

该团队已确认以下恶意软件/威胁行为者在 11 月份最为活跃。 图 1:2025年11月恶意软件趋势。

LevelBlue 追踪器已为不同追踪家族识别了超过 11,616 个新的入侵指标 (IOC),其中最大的推动力来自 ClearFake。11月份最活跃的追踪器是: 图 2:2025年11月来自 LevelBlue 追踪器的新 IOC。

USM Anywhere 检测改进 在 11 月份,LevelBlue SpiderLabs 添加或更新了 18 个 USM Anywhere 检测规则和 5 个 NIDS 检测规则。以下是 LevelBlue SpiderLabs 开发的一些改进和新元素的示例:

  • 新增规则集,包含用于 1Password 检测的新检测规则,例如不可能旅行、暴力破解后成功认证或禁用 MFA。
  • 新增检测规则,用于识别修改注册表项 LocalAccountTokenFilterPolicy 以获取特权访问。
  • 针对 Gh0stKCP 协议和 Danabot 活动的 NIDS 检测规则。

请访问 LevelBlue 成功中心查看完整的改进、新元素、发现的问题和创建的任务列表。

LevelBlue SpiderLabs Open Threat Exchange LevelBlue SpiderLabs Open Threat Exchange (OTX) 是全球最大的开放威胁情报共享社区之一,由来自全球 140 个国家的 33 万名威胁研究人员组成,他们每天向平台发布威胁信息。LevelBlue SpiderLabs 对这些威胁情报进行验证、分析和丰富。OTX 成员受益于集体研究,可以为社区做出贡献,分析威胁,创建公共和私人威胁情报共享组等。在此处了解更多关于 OTX、其优势以及如何加入的信息。

新的 OTX Pulses LevelBlue SpiderLabs 团队根据其研究和发现,不断在 OTX 中发布新的脉搏 (Pulses)。脉搏是交互式且可研究的存储库,包含有关威胁、威胁行为者、活动等的信息。这包括对成员有用的入侵指标 (IoC)。11月份,实验室团队创建了 99 个新的脉搏,为最新威胁和活动提供了覆盖。以下是几个最相关的新脉搏示例:

  • Shai-hulud 2.0 Campaign Targets Cloud and Developer Ecosystems
  • RONINGLOADER: DragonBreath’s New Path to PPL Abuse
  • Russian RomCom Utilizing SocGholish to Deliver Mythic Agent to U.S. Companies Supporting Ukraine.
comments powered by Disqus
© 2020 - 2026 qife
使用 Hugo 构建
主题 StackJimmy 设计
本站总访问量 本站访客数人次