Hackerii nord-coreeni infectează mai mult de 300 de dezvoltatori cu malware npm pentru furtul de criptomonede
Lazarus vizează portofelele Solana și Exodus
Grupul Lazarus a infectat sute de dezvoltatori de software, implementând programe malware prin intermediul pachetelor npm pentru a fura acreditări, a extrage date din portofelele criptografice și a instala un backdoor persistent.
Conform cercetărilor efectuate de Socket Research Team, hackerii nord-coreeni din Lazarus au încărcat șase pachete malițioase în npm, vizând dezvoltatorii și utilizatorii de criptografie.
Aceste pachete malițioase, descărcate de peste 300 de ori, urmăresc să fure datele de autentificare, să instaleze backdoors și să extragă date sensibile din portofelele Solana și Exodus.
Malware-ul vizează în special profilurile de browser, scanând fișiere din Chrome, Brave și Firefox, precum și date din keychain-ul macOS.
Modul în care Lazarus răspândește malware-ul
Pachetele malițioase identificate includ:
is-buffer-validator
yoojae-validator
event-handle-package
array-empty-validator
react-event-dependency
auth-validator
Aceste pachete folosesc tehnici de typosquatting pentru a păcăli dezvoltatorii să le descarce sub nume ușor greșite.
"Datele furate sunt apoi transmise către un server C2 hardcoded la adresa hxxp://172.86.84[.]38:1224/uploads, urmând strategia bine documentată a lui Lazarus pentru colectarea și exfiltrarea informațiilor compromise", a declarat analistul de amenințări Kirill Boychenko de la Socket Security.
Atenuarea amenințării
Se așteaptă ca Lazarus și alți actori de amenințare avansați să își perfecționeze în continuare tacticile de infiltrare, potrivit Socket Security.
Pentru a atenua aceste riscuri, organizațiile ar trebui să implementeze o abordare de securitate pe mai multe niveluri, inclusiv:
Audituri automatizate ale dependențelor și revizuiri ale codului pentru a detecta anomalii în pachetele terților, în special cele cu descărcări reduse sau surse neverificate.
Monitorizarea continuă a modificărilor dependențelor pentru a detecta actualizările rău intenționate.
- Blocarea conexiunilor de ieșire către punctele finale C2 cunoscute pentru a preveni exfiltrarea datelor.
- Izolarea codului neîncrezător în medii controlate și implementarea de soluții de securitate a punctelor finale pentru a detecta activitatea suspectă a sistemului de fișiere sau a rețelei.
- Educarea dezvoltatorilor cu privire la tacticile de typosquatting pentru a spori vigilența și verificarea adecvată înainte de instalarea de noi pachete.
După cum am scris, într-o întorsătură dramatică în saga continuă a breșelor de securitate ale criptomonedelor, autoritățile au identificat celebrul Lazarus Group ca fiind orchestratorul din spatele recentei exploatări Bybit.
