Северокорейские хакеры заразили более 300 разработчиков вредоносными программами npm для кражи криптовалют
Lazarus нацелен на кошельки Solana и Exodus
Группа Lazarus Group заразила сотни разработчиков программного обеспечения, распространяя вредоносное ПО через пакеты npm для кражи учетных данных, извлечения данных криптокошельков и установки постоянного бэкдора.
Согласно исследованию Socket Research Team, северокорейские хакеры из Lazarus загрузили шесть вредоносных пакетов в npm, предназначенных для разработчиков и пользователей криптовалют.
Эти вредоносные пакеты, загруженные более 300 раз, предназначены для кражи учетных данных, установки бэкдоров и извлечения конфиденциальных данных из кошельков Solana и Exodus.
Особое внимание вредоносная программа уделяет профилям браузеров, сканируя файлы из Chrome, Brave и Firefox, а также данные связки ключей macOS.
Как Lazarus распространяет вредоносное ПО
Идентифицированные вредоносные пакеты включают:
is-buffer-validator
yoojae-validator
event-handle-package
array-empty-validator
react-event-dependency
auth-validator
Эти пакеты используют технику typosquatting, чтобы обмануть разработчиков и загрузить их под немного неправильными именами.
"Похищенные данные затем передаются на жестко закодированный C2-сервер по адресу hxxp://172.86.84[.]38:1224/uploads, следуя хорошо задокументированной стратегии Lazarus по сбору и утечке скомпрометированной информации", - говорит аналитик угроз Кирилл Бойченко из Socket Security.
Смягчение угрозы
По данным Socket Security, ожидается, что Lazarus и другие субъекты современных угроз будут и дальше совершенствовать свою тактику проникновения.
Чтобы снизить эти риски, организациям следует применять многоуровневый подход к безопасности, включающий:
- Автоматизированный аудит зависимостей и анализ кода для выявления аномалий в сторонних пакетах, особенно в тех, которые мало загружаются или имеют непроверенные источники.
- Постоянный мониторинг изменений зависимостей для выявления вредоносных обновлений.
- Блокирование исходящих соединений с известными конечными точками C2 для предотвращения утечки данных.
- Изоляция недоверенного кода в контролируемых средах и развертывание решений для защиты конечных точек для обнаружения подозрительной файловой системы или сетевой активности.
- Обучение разработчиков тактике typosquatting для повышения бдительности и надлежащей проверки перед установкой новых пакетов.
Как мы уже писали, в результате драматического поворота в продолжающейся саге о нарушениях безопасности криптовалют власти идентифицировали печально известную Lazarus Group как организатора недавнего эксплойта Bybit.
