預警 | KuCoin 安全團隊捕獲到針對交易所用戶的供應鏈攻擊行為

KuCoin 安全團隊於 2025 年 2 月 12 日通過自研安全掃描平台捕獲到在 NPM 官方依賴源中，針對部分交易所用戶的供應鏈攻擊事件。KuCoin 安全團隊快速回應，並快速分析了依賴包中的惡意行為。目前，該惡意依賴源已有上百次下載量。KuCoin 安全團隊已向 NPM 官方提交該惡意依賴源的舊報資訊，並特此向用戶發出預警，請注意避免中招。 

樣本行為 

KuCoin 安全掃描平台監控到，NPM 官方源中存在偽裝成 KuCoin API SDK 的依賴包，並在通過 npm 安裝該依賴包時，它會獲取用戶伺服器或本地計算機中的金鑰文件，並發送至惡意域名：http://ihlkoqayjlegsltkrlhf1sg6hpfdbmrgy[.]oast[.]fun

樣本分析 

在 KuCoin 安全團隊掃描沙盤平台中，檢測到該惡意依賴源的非法行為，對其進行分析後發現，該依賴源在 NPM 官方源中偽裝成 KuCoin 和 Kraken CEX 的相關 SDK 依賴包。

該類依賴包通過伪造混淆名稱，誘導用戶安裝偽裝的依賴包以對其進行攻擊。在安裝依賴的流程中，惡意指令會被植入，獲取用戶本地或伺服器中的金鑰文件內容，並通過 DNSlog 的方式發送至惡意域名下。

其中惡意行為的具體觸發位置如下，在依賴包預先安裝時執行惡意命令。 

該惡意的依賴源倉庫中的 10 個依賴包均包含此惡意行為。 

攻擊者畫像 

調查發現，該攻擊者在 NPM 官方源網站下的註冊資訊如下： 

用戶名： superhotuser1 

電子郵件： tafes30513@shouxs[.]com 

根據 verifymail.io 的分析，shouxs[.]com 是一個自動清除的臨時郵箱服務域名，並表示該攻擊者是一名具備反溯源經驗的黑客。

危害描述 

供應鏈攻擊本身危害極大，當發展到一定程度後，其影響範圍將進一步擴大。許多專案依賴大量第三方套件，一旦惡意套件被發布並被廣泛使用，攻擊影響將迅速擴散。惡意依賴套件可能竊取使用者的敏感資訊，如環境變數、API 金鑰、使用者數據等，導致數據洩露；惡意套件還可能執行破壞性操作，例如刪除文件、加密數據（勒索軟體）或破壞系統功能；甚至可能在套件中植入後門，長期控制受影響系統，進行進一步攻擊。 

此次針對 KuCoin 和 Kraken 的惡意依賴套件，會竊取使用者的登入密鑰。如果使用者採用帳號密碼登入個人電腦或伺服器，則可能導致伺服器被攻陷的風險。 

截至 KuCoin 安全團隊撰寫預警報告時，該依賴源的惡意套件周下載量已達數百次，數據如下： 

kucoin-production，下載次數：67 

kucoin-main,下載次數:70 

kucoin-internal,下載次數:63 

kucoin-test,下載次數:69 

kucoin-dev,下載次數:66 

 

kraken-dev,下載次數:70 

kraken-main,下載次數:65 

kraken-production,下載次數:67 

kraken-test,下載次數:65 

kraken-internal,下載次數:64 

IOC 

從攻擊者上傳惡意依賴包到 KuCoin 安全團隊發現，全部過程不到 1 天。KuCoin 安全團隊目前已向 NPM 官方提交舊報，NPM 官方確認需要一定時間來處理。同時，KuCoin 安全團隊通過公告向用戶發出警告，以防止中招。