12.03.2025
Mirjan Hipolito
Kryptovaluutta- ja osakeasiantuntija
12.03.2025

Pohjois-Korean hakkerit tartuttavat yli 300 kehittäjää npm-haittaohjelmilla kryptovarkauksia varten

Pohjois-Korean hakkerit tartuttavat yli 300 kehittäjää npm-haittaohjelmilla kryptovarkauksia varten Lazarus kohdistuu Solana- ja Exodus-lompakoihin

Lazarus Group on saastuttanut satoja ohjelmistokehittäjiä ja levittänyt haittaohjelmia npm-pakettien kautta varastamaan tunnistetietoja, poimimaan kryptolompakon tietoja ja asentamaan pysyvän takaoven.

Socket Research Team -tutkimusryhmän tekemän tutkimuksen mukaan pohjoiskorealaiset Lazarus-hakkerit latasivat npm:ään kuusi haittaohjelmapakettia, jotka kohdistuvat kehittäjiin ja kryptokäyttäjiin.

Näiden yli 300 kertaa ladattujen haittaohjelmien tavoitteena on varastaa kirjautumistiedot, asentaa takaovia ja poimia arkaluonteisia tietoja Solana- ja Exodus-lompakoista.

Haittaohjelma kohdistuu erityisesti selainprofiileihin ja skannaa tiedostoja Chromesta, Bravesta ja Firefoxista sekä macOS-avaimenperän tietoja.

Miten Lazarus levittää haittaohjelmaa

Tunnistettuja haittaohjelmapaketteja ovat mm:

is-buffer-validator

yoojae-validator

event-handle-package

array-empty-validator

react-event-dependency

auth-validator

Nämä paketit käyttävät typosquatting-tekniikoita huijatakseen kehittäjiä lataamaan ne hieman väärin kirjoitetuilla nimillä.

"Varastetut tiedot siirretään sitten kovakoodatulle C2-palvelimelle osoitteessa hxxp://172.86.84[.]38:1224/uploads, mikä noudattaa Lazaruksen hyvin dokumentoitua strategiaa vaarannettujen tietojen keräämiseksi ja poistamiseksi", sanoo uhka-analyytikko Kirill Boychenko Socket Securitysta.

Uhkan lieventäminen

Lazaruksen ja muiden kehittyneiden uhkatoimijoiden odotetaan Socket Securityn mukaan kehittävän soluttautumistaktiikkaansa edelleen.

Näiden riskien lieventämiseksi organisaatioiden tulisi ottaa käyttöön monikerroksinen tietoturva, johon kuuluu mm:

Automaattiset riippuvuustarkastukset ja koodin tarkistukset, joilla havaitaan poikkeavuudet kolmansien osapuolten paketeissa, erityisesti niissä, joiden latausaste on alhainen tai joiden lähteet ovat tarkistamattomia.

Riippuvuusmuutosten jatkuva seuranta haitallisten päivitysten havaitsemiseksi.

- lähtevien yhteyksien estäminen tunnettuihin C2-päätteisiin tietojen siirtymisen estämiseksi.

- Epäluotettavan koodin eristäminen valvottuihin ympäristöihin ja päätelaitteiden tietoturvaratkaisujen käyttöönotto epäilyttävän tiedostojärjestelmän tai verkkotoiminnan havaitsemiseksi.

- Kehittäjien valistaminen kirjoitusvirheiden taktiikoista valppauden lisäämiseksi ja asianmukaisten tarkistusten tekemiseksi ennen uusien pakettien asentamista.

Kuten kirjoitimme, kryptovaluuttojen tietoturvaloukkausten jatkuvan saagan dramaattisessa käänteessä viranomaiset ovat tunnistaneet pahamaineisen Lazarus Groupin äskettäisen Bybit-hyökkäyksen takana olevaksi orkestroijaksi.

Tämä materiaali voi sisältää kolmannen osapuolen mielipiteitä, ei muodosta taloudellista neuvontaa ja saattaa sisältää sponsoroitua sisältöä.