북한 해커들이 300명 이상의 개발자를 npm 멀웨어로 감염시켜 암호화폐 도난을 시도했습니다
라자루스가 솔라나 및 엑소더스 지갑을 노립니다.
라자루스 그룹은 수백 명의 소프트웨어 개발자를 감염시켜 npm 패키지를 통해 멀웨어를 배포하여 자격 증명을 탈취하고, 암호화폐 지갑 데이터를 추출하고, 영구 백도어를 설치했습니다.
소켓 리서치팀의 조사에 따르면, 라자루스의 북한 해커들은 개발자와 암호화폐 사용자를 대상으로 6개의 악성 패키지를 npm에 업로드했습니다.
300회 이상 다운로드된 이 악성 패키지는 로그인 자격 증명을 훔치고, 백도어를 배포하고, 솔라나 및 엑소더스 지갑에서 민감한 데이터를 추출하는 것을 목표로 합니다.
이 멀웨어는 특히 브라우저 프로필을 표적으로 삼아 Chrome, Brave, Firefox의 파일과 macOS 키체인 데이터를 스캔합니다.
라자루스가 멀웨어를 유포하는 방법
확인된 악성 패키지는 다음과 같습니다:
is-buffer-validator
yoojae-validator
event-handle-package
array-empty-validator
react-event-dependency
auth-validator
이러한 패키지는 타이포스쿼팅 기법을 사용하여 개발자가 철자가 약간 틀린 이름으로 다운로드하도록 속입니다.
"탈취한 데이터는 손상된 정보를 수집하고 유출하는 라자루스의 잘 문서화된 전략에 따라 hxxp://172.86.84[.]38:1224/uploads의 하드코딩된 C2 서버로 전송됩니다." 소켓 보안의 위협 분석가 키릴 보이첸코는 이렇게 말합니다.
위협 완화
소켓 시큐리티에 따르면 라자루스와 다른 지능형 위협 공격자들은 침투 전술을 더욱 정교하게 다듬을 것으로 예상됩니다.
이러한 위험을 완화하기 위해 조직은 다음과 같은 다계층 보안 접근 방식을 구현해야 합니다:
자동화된 종속성 감사 및 코드 검토를 통해 타사 패키지, 특히 다운로드 횟수가 적거나 출처가 확인되지 않은 패키지의 이상 징후를 탐지합니다.
종속성 변경을 지속적으로 모니터링하여 악성 업데이트를 찾아냅니다.
- 알려진 C2 엔드포인트에 대한 아웃바운드 연결을 차단하여 데이터 유출을 방지합니다.
- 제어된 환경에서 신뢰할 수 없는 코드를 격리하고 엔드포인트 보안 솔루션을 배포하여 의심스러운 파일 시스템 또는 네트워크 활동을 탐지합니다.
- 새 패키지를 설치하기 전에 경계를 강화하고 적절한 검증을 강화하기 위해 개발자에게 타이포스쿼팅 전술에 대한 교육을 실시합니다.
암호화폐 보안 침해가 계속되고 있는 가운데, 당국은 최근 바이비트 익스플로잇의 배후로 악명 높은 라자루스 그룹을 지목했습니다.
