Des pirates nord-coréens infectent plus de 300 développeurs avec des logiciels malveillants npm pour voler des cryptomonnaies
Lazarus cible les portefeuilles de Solana et d'Exodus
Le groupe Lazarus a infecté des centaines de développeurs de logiciels, en déployant des logiciels malveillants via des paquets npm pour voler des informations d'identification, extraire des données de portefeuilles cryptographiques et installer une porte dérobée persistante.
Selon les recherches menées par l'équipe de recherche Socket, les pirates nord-coréens de Lazarus ont téléchargé six paquets malveillants sur npm, ciblant les développeurs et les utilisateurs de crypto-monnaies.
Ces paquets malveillants, téléchargés plus de 300 fois, visent à voler les identifiants de connexion, à déployer des portes dérobées et à extraire des données sensibles des portefeuilles Solana et Exodus.
Le logiciel malveillant cible spécifiquement les profils de navigateur, analysant les fichiers de Chrome, Brave et Firefox, ainsi que les données des trousseaux de clés de macOS.
Comment Lazarus diffuse le logiciel malveillant
Les paquets malveillants identifiés sont les suivants
is-buffer-validator
yoojae-validator
event-handle-package
array-empty-validator
react-event-dependency
auth-validator
Ces paquets utilisent des techniques de typosquattage pour inciter les développeurs à les télécharger sous des noms légèrement mal orthographiés.
"Les données volées sont ensuite transmises à un serveur C2 codé en dur à l'adresse hxxp://172.86.84[.]38:1224/uploads, conformément à la stratégie bien documentée de Lazarus pour la collecte et l'exfiltration des informations compromises", explique Kirill Boychenko, analyste des menaces chez Socket Security.
Atténuer la menace
Selon Socket Security, Lazarus et d'autres acteurs de la menace avancée devraient encore affiner leurs tactiques d'infiltration.
Pour atténuer ces risques, les entreprises devraient mettre en œuvre une approche de sécurité multicouche, comprenant les éléments suivants
Des audits automatisés des dépendances et des revues de code pour détecter les anomalies dans les paquets tiers, en particulier ceux qui sont peu téléchargés ou dont les sources ne sont pas vérifiées.
Surveillance continue des changements de dépendances pour repérer les mises à jour malveillantes.
- Blocage des connexions sortantes vers des points d'extrémité C2 connus afin d'empêcher l'exfiltration de données.
- Isoler le code non fiable dans des environnements contrôlés et déployer des solutions de sécurité des points finaux pour détecter les activités suspectes du système de fichiers ou du réseau.
- Sensibiliser les développeurs aux tactiques de typosquattage afin d'accroître la vigilance et de procéder à une vérification adéquate avant d'installer de nouveaux paquets.
Comme nous l'avons écrit, les autorités ont identifié le célèbre Lazarus Group comme l'orchestrateur du récent exploit Bybit, ce qui constitue un rebondissement spectaculaire dans la saga des failles de sécurité des crypto-monnaies.
