Północnokoreańscy hakerzy zainfekowali ponad 300 deweloperów złośliwym oprogramowaniem npm w celu kradzieży kryptowalut
Lazarus atakuje portfele Solana i Exodus
Grupa Lazarus zainfekowała setki twórców oprogramowania, wdrażając złośliwe oprogramowanie za pośrednictwem pakietów npm w celu kradzieży danych uwierzytelniających, wyodrębnienia danych portfela kryptowalutowego i zainstalowania trwałego backdoora.
Według badań przeprowadzonych przez Socket Research Team, północnokoreańscy hakerzy z Lazarus przesłali sześć złośliwych pakietów do npm, skierowanych do programistów i użytkowników kryptowalut.
Te złośliwe pakiety - pobierane ponad 300 razy - mają na celu kradzież danych logowania, wdrażanie backdoorów i wydobywanie poufnych danych z portfeli Solana i Exodus.
Złośliwe oprogramowanie atakuje w szczególności profile przeglądarek, skanując pliki z Chrome, Brave i Firefox, a także dane z pęku kluczy macOS.
Jak Lazarus rozprzestrzenia złośliwe oprogramowanie
Zidentyfikowane złośliwe pakiety obejmują:
is-buffer-validator
yoojae-validator
event-handle-package
array-empty-validator
react-event-dependency
auth-validator
Pakiety te wykorzystują techniki typosquattingu, aby nakłonić programistów do pobrania ich pod nieco błędnymi nazwami.
"Skradzione dane są następnie przesyłane do zakodowanego serwera C2 pod adresem hxxp://172.86.84[.]38:1224/uploads, zgodnie z dobrze udokumentowaną strategią Lazarusa dotyczącą gromadzenia i eksfiltracji zagrożonych informacji" - powiedział analityk zagrożeń Kirill Boychenko z Socket Security.
Łagodzenie zagrożenia
Według Socket Security oczekuje się, że Lazarus i inni zaawansowani aktorzy zagrożeń będą dalej udoskonalać swoje taktyki infiltracji.
Aby ograniczyć to ryzyko, organizacje powinny wdrożyć wielowarstwowe podejście do bezpieczeństwa, w tym:
Zautomatyzowane audyty zależności i przeglądy kodu w celu wykrycia anomalii w pakietach stron trzecich, zwłaszcza tych o niskiej liczbie pobrań lub niezweryfikowanych źródłach.
Ciągłe monitorowanie zmian zależności w celu wykrycia złośliwych aktualizacji.
- Blokowanie połączeń wychodzących do znanych punktów końcowych C2 w celu zapobiegania eksfiltracji danych.
- Izolowanie niezaufanego kodu w kontrolowanych środowiskach i wdrażanie rozwiązań bezpieczeństwa punktów końcowych w celu wykrywania podejrzanej aktywności systemu plików lub sieci.
- Edukacja deweloperów w zakresie taktyki typosquattingu w celu zwiększenia czujności i właściwej weryfikacji przed instalacją nowych pakietów.
Jak już pisaliśmy, w dramatycznym zwrocie w trwającej sadze o naruszeniach bezpieczeństwa kryptowalut, władze zidentyfikowały osławioną Grupę Lazarus jako orkiestratora stojącego za niedawnym exploitem Bybit.
