Kötü şöhretli Kuzey Kore hackleme grubu Lazarus’a bağlı NPM’de (Düğüm Paket Yöneticisi) altı kötü amaçlı paket tanımlanmıştır.
330 kez indirilen paketler, hesap kimlik bilgilerini çalmak, uzlaşmış sistemlerde backdroors dağıtmak ve hassas kripto para birimi bilgilerini çıkarmak için tasarlanmıştır.
Soket araştırma ekibi, daha önce bilinen Lazarus tedarik zinciri operasyonlarına bağlayan kampanyayı keşfetti.
Tehdit grubu, kötü niyetli paketleri milyonlarca JavaScript geliştiricisi tarafından kullanılan NPM gibi yazılım kayıtlarına itmek ve sistemleri pasif olarak uzlaştırdığı bilinmektedir.
Aynı tehdit aktörlerine atfedilen benzer kampanyalar GitHub ve Python Paket Endeksi’nde (PYPI) tespit edildi.
Bu taktik genellikle değerli ağlara ilk erişim elde etmelerine ve Bybit Borsası’ndan son 1,5 milyar dolarlık kripto soygun gibi büyük rekor kıran saldırılar gerçekleştirmelerine izin verir.
NPM’de keşfedilen altı Lazarus paketi, geliştiricileri kazara kurulumlara kandırmak için yazım hatası taktikleri kullanıyor:
- IS-tam-validator -Kimlik bilgilerini çalmak için popüler IS-buffer kütüphanesini taklit eden kötü niyetli paket.
- Yoojae-Validator – Enfekte sistemlerden hassas verileri çıkarmak için kullanılan sahte doğrulama kütüphanesi.
- olay kaplaması -Bir etkinlik taşıma aracı olarak gizlenmiş ancak uzaktan erişim için bir arka kapı kullanır.
- Array-boş-validator – Sistem ve tarayıcı kimlik bilgilerini toplamak için tasarlanmış hileli paket.
- Reaction-Olay-bağımlılığı – React yardımcı programı olarak poz verir, ancak geliştirici ortamlarından ödün vermek için kötü amaçlı yazılım yürütür.
- Auth-validator – Oturum açma kimlik bilgilerini ve API tuşlarını çalmak için kimlik doğrulama doğrulama araçlarını taklit eder.
Paketler, kripto para birimi cüzdanları ve depolanmış şifreler, çerezler ve tarama geçmişi içeren tarayıcı verileri gibi hassas bilgileri çalmak için tasarlanmış kötü amaçlı kod içerir.
Ayrıca Beaverail kötü amaçlı yazılımları ve daha önce kötü amaçlı yazılımların kurulmasına yol açan sahte iş tekliflerinde konuşlandırdıkları InvisibleFerret Backdoor’u yüklüyorlar.
Kaynak: soket
“Kod, ana bilgisayar adı, işletim sistemi ve sistem dizinleri de dahil olmak üzere sistem ortamı ayrıntılarını toplamak için tasarlanmıştır.”
“Chrome, Brave ve Firefox’tan oturum açma verileri ve macOS’taki anahtarlık arşivleri gibi hassas dosyaları bulmak ve çıkarmak için tarayıcı profilleri aracılığıyla sistematik olarak yinelenir.”
“Özellikle, kötü amaçlı yazılım, özellikle Solana ve Exodus’tan ID.json’u çıkaran kripto para cüzdanlarını da hedefler.
Altı Lazarus paketinin tümü hala NPM ve GitHub depolarında mevcuttur, bu nedenle tehdit hala aktiftir.
Yazılım geliştiricilerine, projeleri için kullandıkları paketleri iki kez kontrol etmeleri ve gizli kod gibi şüpheli işaretleri bulmak ve harici sunuculara çağrı yapmak için açık kaynaklı yazılımlardaki kodu sürekli incelemeleri tavsiye edilir.
14 metrelik kötü niyetli eylemlerin analizine dayanarak, saldırıların% 93’ünün ve bunlara karşı nasıl savunulacağının arkasındaki en iyi 10 MITER ATT & CK tekniklerini keşfedin.