3. taraf risk yönetimi, yönetişim ve risk yönetimi
Kuzey Kore’den Lazarus, verileri çalmak için kötü amaçlı NPM paketleri dağıtıyor
Prajeet Nair (@prajeaetspeaks) •
7 Nisan 2025
Kuzey Kore’nin Lazarus Grubu, Truva Yükleyicileri ile gömülü 11 yeni paket yayınlayarak JavaScript Çalışma Zamanı Ortamı NPM deposuna kötü amaçlı kod yükleme siber saldırı kampanyasını genişletti.
Ayrıca bakınız: Ondemand | Üçüncü taraf güvenlik açıklarına yönelik saldırılardan satıcınızın erişimini sağlayın
Güvenlik firması soketinden araştırmacılar Cuma günü yaptığı açıklamada, depoda “Beaverail” infostealer’ı sağlayan tedarik zinciri saldırıları için bir sıcak nokta – tanımladığını söyledi (bkz: bkz: Breach Roundup: Kötü niyetli NPM paketleri, ilk kötü amaçlı yazılım kaldırılmış olsa bile kalıcılığı korur#NPM).
Beaverail tarayıcı verilerini, macOS anahtarlık ve kripto para cüzdanlarını hedefler. Solana blockchain’den özel anahtarları çıkarmak için işlevsellik içerir id.json dosya. Kuzey Koreli hackerlar, zor para birimi elde etmek ve kitle imha silahlarını finanse etmek için çalıntı kripto kullanan hükümetleri için benzersiz yağma blok zincirleri.
Kötü niyetli paketler, gizlilik için otomatik algılamadan veya manuel kod denetimleriyle işaretlemekten kaçınır. Socket, tehdit oyuncusu, sosyal mühendislerin iş arayanları varsayılan bir röportajın bir parçası olarak kötü amaçlı yazılımları indirmeye kandırdığı “bulaşıcı röportaj” olarak izlenen devam eden bir kampanyadan sorumlu Pyongang grubu olduğunu söylüyor (bkz: bkz: Breach Roundup: Kuzey Kore’nin bulaşıcı röportaj kampanyası yeni kötü amaçlı yazılımlar dağıtıyor).
Lazarus’un her iki kampanyanın arkasında olduğunu söyler, aynı şaşkınlık teknikleri, Beavertail kullanımı ve Kuzey Kore altyapısına bağlı komut ve kontrol sunucuları kullanır. Birkaç paket, bilinen bir Kuzey Kore kötü amaçlı aracı olan “InvisibleFerret” olarak izlenen ikinci aşamalı bir arka kapı indiriyor.
Kötü niyetli paketler, dizi doğrulama, günlük kaydı ve hata ayıklama için yardımcı programlar olarak maskelenir. Birkaç paket de dahil dev-debugger-vite– snore-log Ve core-pino – Yüzlerce tarayıcı profil dizinini tarayan komut dosyaları içerir. Çalınan veriler, gizlenmiş C2 sunucularına HTTP Post istekleri yoluyla sessizce açıklanır. Paketler boyunca temel özelliklerden biri, HEX tabanlı dize kodlamasının kullanılmasıdır. Kötü niyetli komut dosyaları, ASCII dizelerini satır içi kod çözme işlevlerini kullanarak çevirir, anahtar kelimeleri maskeleme gibi require veya axios ve yük alımı için URL’lerin gizlenmesi. Bu taktik, cln-logger Ve node-clog Paketler, geleneksel kötü amaçlı yazılım algılama mekanizmalarını hayal kırıklığına uğratmayı amaçlamaktadır.
Daha önceki çabaların aksine, Lazarus bağlantılı kampanya artık GitHub ile birlikte Bitbucket depolarını kullanıyor. . icloud-cod Paket, bir dizinin altında bir Bitbucket reposuna bağlıydı. eiwork_hiregeliştiricileri cezbetmek için sahte iş ilanlarının daha fazla kullanılmasını ima etmek.
Tehdit oyuncusu stratejisi, kalıcılığı korumak ve bozulma riskini azaltmak için uç noktaları döndürürken çeşitli hesaplara birden fazla kötü amaçlı yazılım varyantının dağıtılmasına dayanmaktadır.
Araştırmacılar, “Bu saldırganlar açık kaynaklı yazılımdaki güven modelini anlıyorlar.” Dedi. Diyerek şöyle devam etti: “Bu güveni kurumsal ortamlara eklemek için bu güvenden yararlanıyorlar.”