Недавние события в мире кибербезопасности привлекли внимание экспертов: хакеры, связанные с Lazarus group, активизировали свои атаки, используя вредоносные пакеты npm. Эти злоумышленники внедрили новые троянские программы для удаленного доступа (RAT) и применили передовые методы обфускации, чтобы обойти защиту автоматизированных систем.
Хронология атак и методы
Согласно данным, в рамках данной кампании было опубликовано одиннадцать зараженных пакетов, которые успели быть загружены более чем 5600 раз, прежде чем были заблокированы несколько учетных записей, связанных с атакующими. Одной из активных учетных записей была alextucker0519, которая распространяла такие пакеты, как array-empty-validator и empty-array-validator.
Особенности вредоносных пакетов
- Нацелены на разные браузеры: Brave, Chrome и Opera.
- Сканируют до 200 каталогов профилей браузеров для извлечения конфиденциальных данных, включая закрытые ключи из файлов Solana id.json.
- Фильтрация информации осуществляется автоматически через HTTP POST-запросы на серверы C2, что эффективно использует существующую инфраструктуру Lazarus.
Дополнительно, вредоносные пакеты продемонстрировали отличительные методы подписи, типичные для Lazarus, включая:
- Многоэтапная доставка полезной нагрузки.
- Использование BeaverTail infostealer для сбора данных браузера.
- Сбор информации о связке ключей macOS и данных криптовалютных кошельков.
Стратегии обфускации и легитимизация атак
В ходе кампании было создано несколько подставных учетных записей, таких как taras_lakhai и mvitalii, которые подключены к серверам C2 с одинаковым IP и конфигурацией порта. Злоумышленники также использовали другие учетные записи, такие как wishorn и crouch626, что позволило им увеличить охват своей инфраструктуры.
Кроме того, вредоносные пакеты были привязаны к репозиториям GitHub и Bitbucket, создавая видимость легитимности и привлекая ничего не подозревающих разработчиков:
- Хранилища создавались незадолго до публикации соответствующих пакетов.
- Стратегическая привязка пакетов к популярным платформам для повышения достоверности.
Заключение
Эта продолжающаяся киберкриминальная кампания от Lazarus group не только демонстрирует их намерение скомпрометировать среды разработки и осуществить хищение финансовых средств, но и подчеркивает настойчивость этих хакеров, орниентирующихся на меняющиеся векторы атак в цепочке поставок программного обеспечения. Использование сложных методов, таких как обфускация, иллюстрирует постоянную угрозу, исходящую от злоумышленников в экосистеме npm.
Отчет получен из сервиса CTT Report Hub. Права на отчет принадлежат его владельцу.
Ознакомиться подробнее с отчетом можно по ссылке.
Оригинал публикации на сайте CISOCLUB: "Активизация хакеров Lazarus через вредоносные пакеты npm".
Смотреть публикации по категориям: Новости | Мероприятия | Статьи | Обзоры | Отчеты | Интервью | Видео | Обучение | Вакансии | Утечки | Уязвимости | Сравнения | Дайджесты | Прочее.
Подписывайтесь на нас: VK | Rutube | Telegram | Дзен | YouTube | X.
