12.03.2025
Mirjan Hipolito
Kriptovaluta és részvényszakértő
12.03.2025

Észak-koreai hackerek több mint 300 fejlesztőt fertőztek meg npm malware-rel kriptolopás céljából

Észak-koreai hackerek több mint 300 fejlesztőt fertőztek meg npm malware-rel kriptolopás céljából A Lazarus a Solana és Exodus pénztárcákat veszi célba

A Lazarus Group több száz szoftverfejlesztőt fertőzött meg, és npm csomagokon keresztül rosszindulatú szoftvereket telepített, hogy ellopja a hitelesítő adatokat, kivonja a kriptotárca adatait, és tartós hátsó ajtót telepítsen.

A Socket Research Team kutatása szerint a Lazarus észak-koreai hackerei hat rosszindulatú csomagot töltöttek fel az npm-be, fejlesztőket és kriptofelhasználókat célozva meg.

Ezek a több mint 300 alkalommal letöltött rosszindulatú csomagok célja bejelentkezési adatok ellopása, hátsó ajtó telepítése és érzékeny adatok kinyerése a Solana és Exodus tárcákból.

A kártevő kifejezetten a böngészőprofilokat veszi célba, a Chrome, a Brave és a Firefox fájljait, valamint a macOS kulcstartó adatait vizsgálja.

Hogyan terjed a Lazarus kártevő

Az azonosított rosszindulatú csomagok a következők:

is-buffer-validator

yoojae-validator

event-handle-package

array-empty-validator

react-event-dependency

auth-validator

Ezek a csomagok tipposquatting technikákat használnak, hogy becsapják a fejlesztőket, hogy kissé elírt nevek alatt töltsék le őket.

"Az ellopott adatokat ezután a Lazarus jól dokumentált stratégiáját követve a kompromittált információk gyűjtésére és kiszivárgására a hxxp://172.86.84[.]38:1224/uploads címen található, keményen kódolt C2 szerverre továbbítják" - mondta Kirill Boychenko, a Socket Security fenyegetéselemzője.

A fenyegetés enyhítése

A Socket Security szerint a Lazarus és más fejlett fenyegetőszereplők várhatóan tovább finomítják beszivárgási taktikájukat.

E kockázatok mérséklése érdekében a szervezeteknek többrétegű biztonsági megközelítést kell alkalmazniuk, többek között:

Automatizált függőségi auditok és kódvizsgálatok a harmadik féltől származó csomagok rendellenességeinek felderítésére, különösen az alacsony letöltésszámú vagy nem ellenőrzött forrású csomagok esetében.

A függőségi változások folyamatos nyomon követése a rosszindulatú frissítések kiszűrése érdekében.

- Az ismert C2 végpontokhoz való kimenő kapcsolatok blokkolása az adatok kiszivárgásának megakadályozása érdekében.

- A nem megbízható kódok elkülönítése ellenőrzött környezetekben és végpontbiztonsági megoldások telepítése a gyanús fájlrendszer- vagy hálózati tevékenység észlelésére.

- A fejlesztők oktatása a gépelési taktikákról az éberség fokozása és az új csomagok telepítése előtti megfelelő ellenőrzés érdekében.

Mint írtuk, a kriptovaluta biztonsági résekkel kapcsolatos folyamatos saga drámai fordulatában a hatóságok a hírhedt Lazarus Groupot azonosították a közelmúltbeli Bybit exploit mögött álló szervezőként.

Ez az anyag tartalmazhat harmadik fél véleményét, nem minősül pénzügyi tanácsadásnak, és tartalmazhat szponzorált tartalmat.