Pohjois-Korean hakkerit tartuttavat yli 300 kehittäjää npm-haittaohjelmilla kryptovarkauksia varten
Lazarus kohdistuu Solana- ja Exodus-lompakoihin
Lazarus Group on saastuttanut satoja ohjelmistokehittäjiä ja levittänyt haittaohjelmia npm-pakettien kautta varastamaan tunnistetietoja, poimimaan kryptolompakon tietoja ja asentamaan pysyvän takaoven.
Socket Research Team -tutkimusryhmän tekemän tutkimuksen mukaan pohjoiskorealaiset Lazarus-hakkerit latasivat npm:ään kuusi haittaohjelmapakettia, jotka kohdistuvat kehittäjiin ja kryptokäyttäjiin.
Näiden yli 300 kertaa ladattujen haittaohjelmien tavoitteena on varastaa kirjautumistiedot, asentaa takaovia ja poimia arkaluonteisia tietoja Solana- ja Exodus-lompakoista.
Haittaohjelma kohdistuu erityisesti selainprofiileihin ja skannaa tiedostoja Chromesta, Bravesta ja Firefoxista sekä macOS-avaimenperän tietoja.
Miten Lazarus levittää haittaohjelmaa
Tunnistettuja haittaohjelmapaketteja ovat mm:
is-buffer-validator
yoojae-validator
event-handle-package
array-empty-validator
react-event-dependency
auth-validator
Nämä paketit käyttävät typosquatting-tekniikoita huijatakseen kehittäjiä lataamaan ne hieman väärin kirjoitetuilla nimillä.
"Varastetut tiedot siirretään sitten kovakoodatulle C2-palvelimelle osoitteessa hxxp://172.86.84[.]38:1224/uploads, mikä noudattaa Lazaruksen hyvin dokumentoitua strategiaa vaarannettujen tietojen keräämiseksi ja poistamiseksi", sanoo uhka-analyytikko Kirill Boychenko Socket Securitysta.
Uhkan lieventäminen
Lazaruksen ja muiden kehittyneiden uhkatoimijoiden odotetaan Socket Securityn mukaan kehittävän soluttautumistaktiikkaansa edelleen.
Näiden riskien lieventämiseksi organisaatioiden tulisi ottaa käyttöön monikerroksinen tietoturva, johon kuuluu mm:
Automaattiset riippuvuustarkastukset ja koodin tarkistukset, joilla havaitaan poikkeavuudet kolmansien osapuolten paketeissa, erityisesti niissä, joiden latausaste on alhainen tai joiden lähteet ovat tarkistamattomia.
Riippuvuusmuutosten jatkuva seuranta haitallisten päivitysten havaitsemiseksi.
- lähtevien yhteyksien estäminen tunnettuihin C2-päätteisiin tietojen siirtymisen estämiseksi.
- Epäluotettavan koodin eristäminen valvottuihin ympäristöihin ja päätelaitteiden tietoturvaratkaisujen käyttöönotto epäilyttävän tiedostojärjestelmän tai verkkotoiminnan havaitsemiseksi.
- Kehittäjien valistaminen kirjoitusvirheiden taktiikoista valppauden lisäämiseksi ja asianmukaisten tarkistusten tekemiseksi ennen uusien pakettien asentamista.
Kuten kirjoitimme, kryptovaluuttojen tietoturvaloukkausten jatkuvan saagan dramaattisessa käänteessä viranomaiset ovat tunnistaneet pahamaineisen Lazarus Groupin äskettäisen Bybit-hyökkäyksen takana olevaksi orkestroijaksi.
