Северокорейские хакеры заразили более 300 разработчиков вредоносными программами npm для кражи криптовалют

Traders Union
Все финансовые новости
Криптовалюты
Северокорейские хакеры-заразители

Все новости

Главные новости

Выбор редакции

Криптовалюты

Финансы

Валюты

Взгляды экспертов

Новости регуляторов

Мирджан Иполито

12.03.2025

Северокорейские хакеры заразили более 300 разработчиков вредоносными программами npm для кражи криптовалют — Lazarus нацелен на кошельки Solana и Exodus

Группа Lazarus Group заразила сотни разработчиков программного обеспечения, распространяя вредоносное ПО через пакеты npm для кражи учетных данных, извлечения данных криптокошельков и установки постоянного бэкдора.

Эта статья была переведена с оригинала. Читайте оригинальную версию от нашего корреспондента здесь.

Согласно исследованию Socket Research Team, северокорейские хакеры из Lazarus загрузили шесть вредоносных пакетов в npm, предназначенных для разработчиков и пользователей криптовалют.

Эти вредоносные пакеты, загруженные более 300 раз, предназначены для кражи учетных данных, установки бэкдоров и извлечения конфиденциальных данных из кошельков Solana и Exodus.

Особое внимание вредоносная программа уделяет профилям браузеров, сканируя файлы из Chrome, Brave и Firefox, а также данные связки ключей macOS.

Как Lazarus распространяет вредоносное ПО

Идентифицированные вредоносные пакеты включают:

is-buffer-validator

yoojae-validator

event-handle-package

array-empty-validator

react-event-dependency

auth-validator

Эти пакеты используют технику typosquatting, чтобы обмануть разработчиков и загрузить их под немного неправильными именами.

"Похищенные данные затем передаются на жестко закодированный C2-сервер по адресу hxxp://172.86.84[.]38:1224/uploads, следуя хорошо задокументированной стратегии Lazarus по сбору и утечке скомпрометированной информации", - говорит аналитик угроз Кирилл Бойченко из Socket Security.

Смягчение угрозы

По данным Socket Security, ожидается, что Lazarus и другие субъекты современных угроз будут и дальше совершенствовать свою тактику проникновения.

Чтобы снизить эти риски, организациям следует применять многоуровневый подход к безопасности, включающий:

- Автоматизированный аудит зависимостей и анализ кода для выявления аномалий в сторонних пакетах, особенно в тех, которые мало загружаются или имеют непроверенные источники.

- Постоянный мониторинг изменений зависимостей для выявления вредоносных обновлений.

- Блокирование исходящих соединений с известными конечными точками C2 для предотвращения утечки данных.

- Изоляция недоверенного кода в контролируемых средах и развертывание решений для защиты конечных точек для обнаружения подозрительной файловой системы или сетевой активности.

- Обучение разработчиков тактике typosquatting для повышения бдительности и надлежащей проверки перед установкой новых пакетов.

Как мы уже писали, в результате драматического поворота в продолжающейся саге о нарушениях безопасности криптовалют власти идентифицировали печально известную Lazarus Group как организатора недавнего эксплойта Bybit.

Этот материал может содержать мнения третьих лиц, никакие данные и информация на этой веб-странице не являются инвестиционным советом в соответствии с нашим Отказом от ответственности. Хотя мы придерживаемся строгих Редакционных стандартов, этот пост может содержать ссылки на продукты наших партнеров.