Kuzey Koreli bilgisayar korsanları kripto hırsızlığı için 300'den fazla geliştiriciye npm zararlı yazılımı bulaştırdı
Lazarus Solana ve Exodus cüzdanlarını hedef alıyor
Lazarus Grubu, kimlik bilgilerini çalmak, kripto cüzdan verilerini çıkarmak ve kalıcı bir arka kapı kurmak için npm paketleri aracılığıyla kötü amaçlı yazılım dağıtarak yüzlerce yazılım geliştiricisine bulaştı.
Socket Araştırma Ekibi tarafından yapılan araştırmaya göre, Lazarus'tan Kuzey Koreli bilgisayar korsanları, geliştiricileri ve kripto kullanıcılarını hedef alan altı kötü amaçlı paketi npm'ye yükledi.
300'den fazla kez indirilen bu kötü amaçlı paketler, oturum açma kimlik bilgilerini çalmayı, arka kapılar yerleştirmeyi ve Solana ve Exodus cüzdanlarından hassas verileri çıkarmayı amaçlıyor.
Kötü amaçlı yazılım özellikle tarayıcı profillerini hedef alarak Chrome, Brave ve Firefox dosyalarının yanı sıra macOS anahtar zinciri verilerini de tarıyor.
Lazarus kötü amaçlı yazılımı nasıl yayıyor?
Tespit edilen zararlı paketler şunlardır:
is-buffer-validator
yoojae-validator
event-handle-package
array-empty-validator
react-event-dependency
auth-validator
Bu paketler, geliştiricileri hafifçe yanlış yazılmış isimler altında indirmeleri için kandırmak amacıyla typosquatting tekniklerini kullanmaktadır.
Socket Security'den tehdit analisti Kirill Boychenko, "Çalınan veriler daha sonra hxxp://172.86.84[.]38:1224/uploads adresindeki kodlanmış bir C2 sunucusuna iletiliyor ve Lazarus'un ele geçirilen bilgileri toplama ve dışarı çıkarma konusundaki iyi belgelenmiş stratejisi izleniyor" dedi.
Tehdidi hafifletmek
Socket Security'ye göre Lazarus ve diğer gelişmiş tehdit aktörlerinin sızma taktiklerini daha da geliştirmeleri bekleniyor.
Bu riskleri azaltmak için kuruluşlar aşağıdakileri içeren çok katmanlı bir güvenlik yaklaşımı uygulamalıdır:
Üçüncü taraf paketlerindeki anormallikleri, özellikle de az indirilen veya doğrulanmamış kaynaklara sahip olanları tespit etmek için otomatik bağımlılık denetimleri ve kod incelemeleri.
Kötü niyetli güncellemeleri tespit etmek için bağımlılık değişikliklerinin sürekli izlenmesi.
- Veri sızıntısını önlemek için bilinen C2 uç noktalarına giden bağlantıları engelleme.
- Güvenilmeyen kodun kontrollü ortamlarda izole edilmesi ve şüpheli dosya sistemi veya ağ etkinliğini tespit etmek için uç nokta güvenlik çözümlerinin kullanılması.
- Yeni paketleri yüklemeden önce dikkati ve uygun doğrulamayı artırmak için geliştiricileri yazım hatası taktikleri konusunda eğitmek.
Yazdığımız gibi, devam eden kripto para birimi güvenlik ihlalleri destanında dramatik bir dönüşle, yetkililer kötü şöhretli Lazarus Grubu 'nu son Bybit istismarının arkasındaki orkestratör olarak tanımladılar .
