Исследовательская команда Socket зафиксировала новую волну атак со стороны северокорейской хакерской группы Lazarus. В рамках этой кампании злоумышленники внедрили шесть вредоносных npm-пакетов, предназначенных для компрометации разработческих сред, кражи учетных данных и криптовалютных активов.
Исследователи зафиксировали, что эти пакеты содержат вредоносное ПО BeaverTail, ранее ассоциировавшееся с Lazarus.
Подмена доверенных библиотек и стратегия атак
Сообщается, что вредоносные пакеты, опубликованные в npm, использовали метод тайпосквоттинга (typosquatting) — подмену имен популярных библиотек, чтобы ввести в заблуждение разработчиков. Среди выявленных вредоносных пакетов:
- is-buffer-validator — загружен 52 раза, опубликован пользователем «edan0831» на npm и имеет связанный GitHub-аккаунт.
- yoojae-validator — 55 загрузок, опубликован пользователем «hottblaze», также имеет GitHub-репозиторий.
- event-handle-package — 54 загрузки, опубликован пользователем «ricardoalexis07», GitHub-репозиторий отсутствует.
- array-empty-validator — 59 загрузок, автор «alextucker0519», код размещен на GitHub.
- react-event-dependency — 57 загрузок, опубликован «elondavid», GitHub-репозиторий присутствует.
- auth-validator — 54 загрузки, опубликован «kevin_tr», GitHub-репозиторий был удален, но связан с аккаунтом «kevin-tra».
Исследователи Socket отметили, что в каждом из случаев злоумышленники использовали названия, схожие с широко известными и доверенными npm-библиотеками. Например, is-buffer-validator напоминает легитимный пакет is-buffer, поддерживаемый уже более десяти лет.
Как действует вредоносное ПО
Специалисты Socket зафиксировали, что обнаруженные npm-пакеты использовали сложные методы обфускации кода, включая самовызываемые функции и динамические конструкторы. Целью злоумышленников было сокрытие истинного функционала вредоносного ПО и сохранение долгосрочного присутствия в зараженных системах.
Код вредоносных пакетов выполнял следующие задачи:
- Сбор информации об окружении системы (имя хоста, ОС, системные каталоги).
- Извлечение данных из браузеров Chrome, Brave и Firefox.
- Кража конфиденциальных данных, включая id.json у пользователей Solana и exodus.wallet у пользователей Exodus.
- Экспорт украденных данных на командный сервер Lazarus (C2-сервер) по адресу hxxp://172.86.84[.]38:1224/uploads.
Кроме этого, зафиксирована вторая стадия атаки — загрузка дополнительного вредоносного компонента InvisibleFerret, который используется для дальнейшего компрометирования системы. Этот элемент загружался под именем p.zip или p2.zip, распаковывался с помощью tar -xf, а затем исполнялся с целью закрепления угрозы в системе.
Анализ угроз и возможные последствия
В Socket подчеркнули, что атака Lazarus соответствует ранее задокументированным схемам атак группировки. Вредоносные пакеты ориентированы на компрометацию сред разработки и могут привести к серьезным утечкам данных, включая кражу криптовалютных активов и учетных записей разработчиков.
Эксперты Socket также отмечают, что Lazarus активно использует цепочку поставок программного обеспечения для распространения своих атак. Это означает, что интеграция зараженных библиотек в проекты может привести к компрометации конечных пользователей, использующих приложения, зависящие от этих библиотек.
Рекомендации для защиты
Socket рекомендует разработчикам и организациям:
- Проводить аудит зависимостей перед их установкой.
- Использовать автоматизированные инструменты мониторинга кода.
- Следить за изменениями в зависимостях, особенно для малоизвестных библиотек.
- Ограничивать сетевой доступ к подозрительным узлам и серверам командного управления (C2).
- Проверять подписи пакетов и их происхождение перед интеграцией в проекты.
- Использовать специализированные инструменты, такие как Socket AI Scanner, для раннего выявления вредоносных зависимостей.
Команда Socket призвала npm и GitHub оперативно удалить обнаруженные вредоносные пакеты и учетные записи, связанные с Lazarus. Исследователи продолжают анализировать активность хакерской группы и прогнозируют дальнейшее развитие атак в этой области.
Полный отчет доступен по ссылке.
Читайте также:
- Bybit ликвидировала последствия взлома на $1.4 млрд. ФБР вышло на след главаря Lazarus
- Хакеры из КНДР украли $6,6 млрд за 2024 год. Южная Корея, США и Япония готовятся дать отпор
- Отток средств с Hyperliquid достиг $256 млн на фоне слухов об угрозе со стороны Lazarus Group
Данный пост носит исключительно информационный характер и не является рекламой или инвестиционным советом. Пожалуйста, проводите собственное исследование, принимая какие-либо решения.