Nordkoreanska hackare infekterar mer än 300 utvecklare med npm-malware för kryptostöld
Lazarus riktar in sig på Solana- och Exodus-plånböcker
Lazarus Group har infekterat hundratals mjukvaruutvecklare och distribuerat skadlig kod via npm-paket för att stjäla inloggningsuppgifter, extrahera data från kryptoplånböcker och installera en ihållande bakdörr.
Enligt forskning från Socket Research Team laddade nordkoreanska hackare från Lazarus upp sex skadliga paket till npm, riktade mot utvecklare och kryptoanvändare.
Dessa skadliga paket - som laddats ner över 300 gånger - syftar till att stjäla inloggningsuppgifter, distribuera bakdörrar och extrahera känslig information från Solana- och Exodus-plånböcker.
Den skadliga programvaran riktar sig specifikt till webbläsarprofiler och skannar filer från Chrome, Brave och Firefox samt macOS-nyckelringsdata.
Hur Lazarus sprider den skadliga programvaran
De identifierade skadliga paketen inkluderar:
is-buffer-validator
yoojae-validator
event-handle-paket
array-empty-validator
react-event-beroende
auth-validator
Dessa paket använder typosquatting-tekniker för att lura utvecklare att ladda ner dem under något felstavade namn.
"De stulna uppgifterna överförs sedan till en hårdkodad C2-server på hxxp://172.86.84[.]38:1224/uploads, enligt Lazarus väldokumenterade strategi för att samla in och exfiltrera komprometterad information", säger hotanalytiker Kirill Boychenko från Socket Security.
Att mildra hotet
Lazarus och andra avancerade hotaktörer förväntas förfina sina infiltrationstaktiker ytterligare, enligt Socket Security.
För att minska dessa risker bör organisationer implementera en säkerhetsmetod med flera lager, inklusive:
Automatiserade beroenderevisioner och kodgranskningar för att upptäcka avvikelser i tredjepartspaket, särskilt de med få nedladdningar eller overifierade källor.
Kontinuerlig övervakning av ändringar i beroenden för att upptäcka skadliga uppdateringar.
- Blockering av utgående anslutningar till kända C2-slutpunkter för att förhindra exfiltrering av data.
- Isolera opålitlig kod i kontrollerade miljöer och implementera säkerhetslösningar för slutpunkter för att upptäcka misstänkt filsystem- eller nätverksaktivitet.
- Utbilda utvecklare om typosquatting-taktik för att öka vaksamheten och korrekt verifiering innan nya paket installeras.
Som vi skrev har myndigheterna i en dramatisk vändning i den pågående sagan om säkerhetsöverträdelser för kryptovalutor identifierat den ökända Lazarus Group som orkestratorn bakom den senaste Bybit-exploateringen.
