Північнокорейські хакери заразили понад 300 розробників npm-шкідливим ПЗ для крадіжки криптовалют
Lazarus націлився на гаманці Solana та Exodus
Група Lazarus заразила сотні розробників програмного забезпечення, розгортаючи шкідливе програмне забезпечення через npm-пакети для крадіжки облікових даних, вилучення даних криптогаманців та встановлення постійного бекдору.
Згідно з дослідженням Socket Research Team, північнокорейські хакери з Lazarus завантажили шість шкідливих пакетів на npm, націлених на розробників і користувачів криптовалют.
Ці шкідливі пакети, завантажені понад 300 разів, мають на меті викрасти облікові дані для входу в систему, встановити бекдори і витягти конфіденційні дані з гаманців Solana та Exodus.
Шкідливе програмне забезпечення спеціально націлене на профілі браузерів, скануючи файли з Chrome, Brave і Firefox, а також дані з брелоків macOS.
Як Lazarus поширює шкідливе програмне забезпечення
Виявлені шкідливі пакети включають
is-buffer-validator
yoojae-validator
event-handle-package
array-empty-validator
react-event-dependency
auth-validator
Ці пакунки використовують техніку typosquatting, щоб обманом змусити розробників завантажити їх під трохи неправильно написаними іменами.
"Викрадені дані потім передаються на жорстко закодований сервер C2 за адресою hxxp://172.86.84[.]38:1224/uploads, слідуючи добре задокументованій стратегії Lazarus по збору і витоку скомпрометованої інформації", - говорить аналітик загроз Кирило Бойченко з Socket Security.
Пом'якшення загрози
Очікується, що Lazarus та інші сучасні зловмисники будуть і надалі вдосконалювати свою тактику проникнення, вважають в Socket Security.
Щоб знизити ці ризики, організаціям слід впроваджувати багаторівневий підхід до безпеки, що включає в себе:
- Автоматизований аудит залежностей та перегляд коду для виявлення аномалій у сторонніх пакетах, особливо тих, що мають низький рівень завантаження або неперевірені джерела.
- Постійний моніторинг змін залежностей для виявлення шкідливих оновлень.
- Блокування вихідних з'єднань з відомими кінцевими точками C2 для запобігання витоку даних.
- Ізоляція ненадійного коду в контрольованих середовищах і розгортання рішень для захисту кінцевих точок для виявлення підозрілої файлової системи або мережевої активності.
- Навчання розробників тактиці боротьби з "друкарським сквоттингом" для підвищення пильності та належної перевірки перед встановленням нових пакунків.
Як ми вже писали, в результаті драматичного повороту в триваючій сазі про порушення безпеки криптовалют, влада встановила, що за нещодавнім експлоітом Bybit стоїть сумнозвісна група Lazarus Group .
