Nordkoreanske hackere inficerer mere end 300 udviklere med npm-malware til kryptotyveri
Lazarus går efter Solana- og Exodus-punge
Lazarus-gruppen har inficeret hundredvis af softwareudviklere og distribueret malware via npm-pakker for at stjæle legitimationsoplysninger, udtrække data fra kryptotegnebøger og installere en vedvarende bagdør.
Ifølge forskning fra Socket Research Team har nordkoreanske hackere fra Lazarus uploadet seks ondsindede pakker til npm, der er målrettet udviklere og kryptobrugere.
Disse ondsindede pakker - der er downloadet over 300 gange - har til formål at stjæle loginoplysninger, installere bagdøre og udtrække følsomme data fra Solana- og Exodus-tegnebøger.
Malwaren er specifikt rettet mod browserprofiler og scanner filer fra Chrome, Brave og Firefox samt macOS-nøgleringsdata.
Sådan spreder Lazarus malwaren
De identificerede ondsindede pakker omfatter:
is-buffer-validator
yoojae-validator
event-handle-pakke
array-tom-validator
react-event-afhængighed
auth-validator
Disse pakker bruger typosquatting-teknikker til at narre udviklere til at downloade dem under lidt forkert stavede navne.
"De stjålne data overføres derefter til en hardcoded C2-server på hxxp://172.86.84[.]38:1224/uploads efter Lazarus' veldokumenterede strategi for indsamling og exfiltrering af kompromitterede oplysninger", siger trusselsanalytiker Kirill Boychenko fra Socket Security.
Afhjælpning af truslen
Lazarus og andre avancerede trusselsaktører forventes at forfine deres infiltrationstaktik yderligere, ifølge Socket Security.
For at afbøde disse risici bør organisationer implementere en sikkerhedstilgang i flere lag, herunder:
Automatiserede afhængighedsrevisioner og kodegennemgange for at opdage uregelmæssigheder i tredjepartspakker, især dem med få downloads eller ubekræftede kilder.
Kontinuerlig overvågning af afhængighedsændringer for at spotte ondsindede opdateringer.
- Blokering af udgående forbindelser til kendte C2-slutpunkter for at forhindre dataekfiltrering.
- Isolering af upålidelig kode i kontrollerede miljøer og implementering af endpoint-sikkerhedsløsninger for at opdage mistænkelig filsystem- eller netværksaktivitet.
- Uddanne udviklere i typosquatting-taktik for at øge årvågenhed og korrekt verifikation, før nye pakker installeres.
Som vi skrev, har myndighederne i en dramatisk drejning i den igangværende saga om sikkerhedsbrud i kryptovaluta identificeret den berygtede Lazarus Group som orkestratoren bag det nylige Bybit-exploit.
