Noord-Koreaanse hackers infecteren meer dan 300 ontwikkelaars met npm-malware voor cryptodiefstal
Lazarus richt zich op Solana- en Exodus-portefeuilles
De Lazarus Group heeft honderden softwareontwikkelaars geïnfecteerd door malware in te zetten via npm-pakketten om referenties te stelen, cryptobezittingen te extraheren en een hardnekkige achterdeur te installeren.
Volgens onderzoek door het Socket Research Team hebben Noord-Koreaanse hackers van Lazarus zes schadelijke pakketten geüpload naar npm, gericht op ontwikkelaars en crypto-gebruikers.
Deze schadelijke pakketten, die meer dan 300 keer zijn gedownload, zijn bedoeld om inloggegevens te stelen, backdoors in te zetten en gevoelige gegevens uit Solana- en Exodus-wallets te halen.
De malware richt zich specifiek op browserprofielen en scant bestanden van Chrome, Brave en Firefox, evenals gegevens uit de sleutelhanger van macOS.
Hoe Lazarus de malware verspreidt
De geïdentificeerde schadelijke pakketten omvatten:
is-buffer-validator
yoojae-validator
event-handle-pakket
array-leeg-validator
react-event-afhankelijkheid
auth-validator
Deze pakketten gebruiken typosquattingtechnieken om ontwikkelaars te verleiden ze te downloaden onder iets verkeerd gespelde namen.
"De gestolen gegevens worden vervolgens verzonden naar een gecodeerde C2-server op hxxp://172.86.84[.]38:1224/uploads, volgens de goed gedocumenteerde strategie van Lazarus voor het verzamelen en exfiltreren van gecompromitteerde informatie," aldus bedreigingsanalist Kirill Boychenko van Socket Security.
De dreiging beperken
Lazarus en andere geavanceerde bedreigingsactoren zullen hun infiltratietactieken naar verwachting verder verfijnen, aldus Socket Security.
Om deze risico's te beperken, moeten organisaties een meerlaagse beveiligingsaanpak implementeren, waaronder:
Geautomatiseerde afhankelijkheidscontroles en codebeoordelingen om afwijkingen te detecteren in pakketten van derden, vooral die met weinig downloads of ongeverifieerde bronnen.
Voortdurende controle van wijzigingen in afhankelijkheden om kwaadaardige updates op te sporen.
- Blokkeren van uitgaande verbindingen naar bekende C2-eindpunten om exfiltratie van gegevens te voorkomen.
- Onvertrouwde code isoleren in gecontroleerde omgevingen en endpoint beveiligingsoplossingen inzetten om verdachte bestandssysteem- of netwerkactiviteit te detecteren.
- Ontwikkelaars voorlichten over typosquatting tactieken om waakzaamheid en de juiste verificatie te verbeteren voordat nieuwe pakketten worden geïnstalleerd.
Zoals we schreven, in een dramatische wending in de voortdurende saga van cryptocurrency beveiligingsschendingen, hebben autoriteiten de beruchte Lazarus Group geïdentificeerd als de aanstichter achter de recente Bybit exploit.
