Hackers norte-coreanos infectam mais de 300 programadores com malware npm para roubo de criptomoedas
O Lazarus tem como alvo as carteiras Solana e Exodus
O Lazarus Group infectou centenas de desenvolvedores de software, implantando malware através de pacotes npm para roubar credenciais, extrair dados de carteiras de criptomoedas e instalar um backdoor persistente.
De acordo com a investigação da Socket Research Team, os hackers norte-coreanos do Lazarus carregaram seis pacotes maliciosos para o npm, visando os programadores e os utilizadores de criptomoedas.
Esses pacotes maliciosos - baixados mais de 300 vezes - têm como objetivo roubar credenciais de login, implantar backdoors e extrair dados confidenciais das carteiras Solana e Exodus.
O malware visa especificamente os perfis dos browsers, analisando ficheiros do Chrome, Brave e Firefox, bem como dados de keychain do macOS.
Como é que o Lazarus espalha o malware
Os pacotes maliciosos identificados incluem:
is-buffer-validator
yoojae-validator
event-handle-package
array-empty-validator
react-event-dependency
auth-validator
Estes pacotes utilizam técnicas de typosquatting para induzir os programadores a descarregá-los com nomes ligeiramente mal escritos.
"Os dados roubados são então transmitidos para um servidor C2 hardcoded em hxxp://172.86.84[.]38:1224/uploads, seguindo a estratégia bem documentada do Lazarus para recolher e exfiltrar informação comprometida", disse o analista de ameaças Kirill Boychenko da Socket Security.
Mitigar a ameaça
Espera-se que o Lazarus e outros agentes de ameaças avançadas aperfeiçoem ainda mais as suas tácticas de infiltração, de acordo com a Socket Security.
Para mitigar esses riscos, as organizações devem implementar uma abordagem de segurança em várias camadas, incluindo:
Auditorias de dependência automatizadas e revisões de código para detetar anomalias em pacotes de terceiros, especialmente aqueles com downloads baixos ou fontes não verificadas.
Monitorização contínua das alterações de dependências para detetar actualizações maliciosas.
- Bloqueio de conexões de saída para pontos de extremidade C2 conhecidos para evitar a exfiltração de dados.
- Isolamento de código não fiável em ambientes controlados e implementação de soluções de segurança de pontos finais para detetar actividades suspeitas no sistema de ficheiros ou na rede.
- Educar os programadores sobre as tácticas de typosquatting para aumentar a vigilância e a verificação adequada antes de instalar novos pacotes.
Como escrevemos, em uma reviravolta dramática na saga contínua de violações de segurança de criptomoedas, as autoridades identificaram o notório Lazarus Group como o orquestrador por trás da recente exploração Bybit.
