朝鲜黑客利用 npm 恶意软件感染 300 多名开发人员,以窃取加密货币
Lazarus 瞄准 Solana 和 Exodus 钱包
Lazarus Group 已经感染了数百名软件开发人员,通过 npm 包部署恶意软件来窃取凭证、提取加密钱包数据并安装持久后门。
根据Socket 研究团队的研究,来自 Lazarus 的朝鲜黑客向 npm 上传了六个恶意软件包,针对开发人员和加密用户。
这些恶意软件已被下载超过 300 次,旨在窃取登录凭据、部署后门以及从 Solana 和 Exodus 钱包中提取敏感数据。
该恶意软件专门针对浏览器配置文件,扫描 Chrome、Brave 和 Firefox 的文件以及 macOS 钥匙串数据。
Lazarus 如何传播恶意软件
已识别的恶意软件包括:
是缓冲区验证器
yoojae-验证器
事件处理包
数组空验证器
反应事件依赖性
授权验证器
这些软件包使用了域名抢注技术来诱骗开发人员以稍微拼写错误的名称下载它们。
Socket Security 的威胁分析师 Kirill Boychenko 表示:“被盗数据随后被传输到位于 hxxp://172.86.84[.]38:1224/uploads 的硬编码 C2 服务器,这符合 Lazarus 收集和泄露泄露信息的详尽策略。”
减轻威胁
Socket Security 称,Lazarus 和其他高级威胁行为者预计将进一步改进其渗透策略。
为了降低这些风险,组织应该实施多层安全方法,包括:
自动依赖审计和代码审查,以检测第三方包中的异常,特别是下载量低或来源未经验证的包。
持续监控依赖项变化以发现恶意更新。
- 阻止与已知 C2 端点的出站连接,以防止数据泄露。
- 在受控环境中隔离不受信任的代码并部署端点安全解决方案来检测可疑的文件系统或网络活动。
- 教育开发人员有关域名抢注策略的知识,以在安装新软件包之前增强警惕性和适当的验证。
正如我们所写,在加密货币安全漏洞事件持续发酵的戏剧性转折中,当局已将臭名昭著的 Lazarus 集团认定为最近 Bybit 漏洞的幕后策划者。
本资料可能包含第三方意见,不构成财务建议,并可能包含赞助内容。
