Gli hacker nordcoreani infettano più di 300 sviluppatori con malware npm per il furto di criptovalute
Lazarus prende di mira i portafogli Solana ed Exodus
Il gruppo Lazarus ha infettato centinaia di sviluppatori di software, distribuendo malware tramite pacchetti npm per rubare credenziali, estrarre dati di portafogli di criptovalute e installare una backdoor persistente.
Secondo una ricerca del Socket Research Team, gli hacker nordcoreani di Lazarus hanno caricato sei pacchetti maligni su npm, prendendo di mira sviluppatori e utenti di criptovalute.
Questi pacchetti maligni, scaricati oltre 300 volte, mirano a rubare le credenziali di accesso, a implementare backdoor e a estrarre dati sensibili dai portafogli Solana ed Exodus.
Il malware prende di mira in particolare i profili dei browser, scansionando i file di Chrome, Brave e Firefox, nonché i dati del portachiavi di macOS.
Come Lazarus diffonde il malware
I pacchetti dannosi identificati includono:
is-buffer-validator
yoojae-validator
pacchetto event-handle
validatore di array vuoti
react-event-dipendenza
aut-validatore
Questi pacchetti utilizzano tecniche di typosquatting per ingannare gli sviluppatori e farli scaricare con nomi leggermente sbagliati.
"I dati rubati vengono poi trasmessi a un server C2 codificato in modo rigido all'indirizzo hxxp://172.86.84[.]38:1224/uploads, seguendo la strategia ben documentata di Lazarus per la raccolta e l'esfiltrazione delle informazioni compromesse", ha dichiarato l'analista delle minacce Kirill Boychenko di Socket Security.
Attenuare la minaccia
Secondo Socket Security, Lazarus e altri attori di minacce avanzate dovrebbero perfezionare ulteriormente le loro tattiche di infiltrazione.
Per mitigare questi rischi, le organizzazioni dovrebbero implementare un approccio alla sicurezza a più livelli, che comprenda:
Verifiche automatizzate delle dipendenze e revisioni del codice per rilevare anomalie nei pacchetti di terze parti, in particolare quelli con pochi download o fonti non verificate.
Monitoraggio continuo delle modifiche alle dipendenze per individuare gli aggiornamenti dannosi.
- Blocco delle connessioni in uscita verso endpoint C2 noti per prevenire l'esfiltrazione dei dati.
- Isolamento del codice non attendibile in ambienti controllati e implementazione di soluzioni di sicurezza degli endpoint per rilevare attività sospette del filesystem o della rete.
- Educare gli sviluppatori sulle tattiche di typosquatting per aumentare la vigilanza e la verifica adeguata prima di installare nuovi pacchetti.
Come abbiamo scritto, in un drammatico colpo di scena nella continua saga delle violazioni della sicurezza delle criptovalute, le autorità hanno identificato il famigerato Lazarus Group come l'orchestratore dietro il recente exploit Bybit.
