威胁行为者部署恶意的 npm（Node Package Manager，Node.js 包管理器）软件包，以窃取 PayPal 账户凭证并劫持加密货币转账。

Fortinet 公司的研究人员发现了多个针对 PayPal 用户的恶意 npm 软件包。这些软件包是在 3 月初由名为 tommyboy_h1 和 tommyboy_h2 的威胁行为者上传到软件包仓库的，被用于窃取 PayPal 账户凭证以及劫持加密货币转账。

Fortinet 公司发布的分析报告中写道：“使用与 PayPal 相关的名称有助于这些恶意软件包躲避检测，使得攻击者更容易窃取敏感信息。通过在恶意软件包的名称中包含 ‘PayPal’ 字样，比如 oauth2-paypal 和 buttonfactoryserv-

paypal，攻击者还营造出一种虚假的合法性，诱使开发人员安装这些软件包。”“这些代码会收集并泄露系统数据，比如用户名和目录路径，然后这些数据可被用于针对 PayPal 账户发起攻击，或者被出售以用于欺诈目的。”

恶意的 npm 软件包利用预安装钩子来运行隐藏脚本，窃取系统信息，对数据进行混淆处理，并将其泄露到攻击者控制的服务器上，以便用于未来的攻击。

Fortinet 公司的研究人员建议密切留意与 PayPal 相关的虚假软件包，检查网络日志中是否存在异常连接，清除威胁，更新账户凭证，并且在安装软件包时保持谨慎。

tommyboy_h1 和 tommyboy_h2 这两个恶意软件包很可能是由同一攻击者创建的，目的是针对 PayPal 用户。

报告总结道：“tommyboy_h1 和 tommyboy_h2的作者很可能是同一个人，在短时间内发布了多个恶意软件包。我们怀疑是同一作者创建了这些软件包来针对PayPal用户。我们敦促公众在下载软件包时保持谨慎，确保软件包来自可

信赖的来源，以免成为此类攻击的受害者。”