Észak-koreai hackerek több mint 300 fejlesztőt fertőztek meg npm malware-rel kriptolopás céljából
A Lazarus a Solana és Exodus pénztárcákat veszi célba
A Lazarus Group több száz szoftverfejlesztőt fertőzött meg, és npm csomagokon keresztül rosszindulatú szoftvereket telepített, hogy ellopja a hitelesítő adatokat, kivonja a kriptotárca adatait, és tartós hátsó ajtót telepítsen.
A Socket Research Team kutatása szerint a Lazarus észak-koreai hackerei hat rosszindulatú csomagot töltöttek fel az npm-be, fejlesztőket és kriptofelhasználókat célozva meg.
Ezek a több mint 300 alkalommal letöltött rosszindulatú csomagok célja bejelentkezési adatok ellopása, hátsó ajtó telepítése és érzékeny adatok kinyerése a Solana és Exodus tárcákból.
A kártevő kifejezetten a böngészőprofilokat veszi célba, a Chrome, a Brave és a Firefox fájljait, valamint a macOS kulcstartó adatait vizsgálja.
Hogyan terjed a Lazarus kártevő
Az azonosított rosszindulatú csomagok a következők:
is-buffer-validator
yoojae-validator
event-handle-package
array-empty-validator
react-event-dependency
auth-validator
Ezek a csomagok tipposquatting technikákat használnak, hogy becsapják a fejlesztőket, hogy kissé elírt nevek alatt töltsék le őket.
"Az ellopott adatokat ezután a Lazarus jól dokumentált stratégiáját követve a kompromittált információk gyűjtésére és kiszivárgására a hxxp://172.86.84[.]38:1224/uploads címen található, keményen kódolt C2 szerverre továbbítják" - mondta Kirill Boychenko, a Socket Security fenyegetéselemzője.
A fenyegetés enyhítése
A Socket Security szerint a Lazarus és más fejlett fenyegetőszereplők várhatóan tovább finomítják beszivárgási taktikájukat.
E kockázatok mérséklése érdekében a szervezeteknek többrétegű biztonsági megközelítést kell alkalmazniuk, többek között:
Automatizált függőségi auditok és kódvizsgálatok a harmadik féltől származó csomagok rendellenességeinek felderítésére, különösen az alacsony letöltésszámú vagy nem ellenőrzött forrású csomagok esetében.
A függőségi változások folyamatos nyomon követése a rosszindulatú frissítések kiszűrése érdekében.
- Az ismert C2 végpontokhoz való kimenő kapcsolatok blokkolása az adatok kiszivárgásának megakadályozása érdekében.
- A nem megbízható kódok elkülönítése ellenőrzött környezetekben és végpontbiztonsági megoldások telepítése a gyanús fájlrendszer- vagy hálózati tevékenység észlelésére.
- A fejlesztők oktatása a gépelési taktikákról az éberség fokozása és az új csomagok telepítése előtti megfelelő ellenőrzés érdekében.
Mint írtuk, a kriptovaluta biztonsági résekkel kapcsolatos folyamatos saga drámai fordulatában a hatóságok a hírhedt Lazarus Groupot azonosították a közelmúltbeli Bybit exploit mögött álló szervezőként.
