Группа Lazarus углубилась в реестр npm и внедрила шесть новых вредоносных пакетов, предназначенных для обмана разработчиков программного обеспечения и нарушения их рабочих процессов, сообщили исследователи из компании по кибербезопасности Socket в своем сообщении в блоге в понедельник .
По данным Socket, связанная с Северной Кореей группа хакеров внедрила вредоносное ПО BeaverTail в пакеты npm для установки бэкдоров и кражи учётных данных и данных криптовалютных кошельков. Вредоносный код нацелен на npm, менеджер пакетов для языка программирования JavaScript, поддерживаемый дочерней компанией GitHub, принадлежащей Microsoft.
Представитель GitHub сообщил, что все шесть вредоносных пакетов были удалены в среду.
Исследователи Socket сообщили, что пакеты, содержащие вредоносное ПО BeaverTail, соответствующие предыдущей тактике Lazarus, включают is-buffer-validator , yoojae-validator , event-handle-package , array-empty-validator , react-event-dependency и auth-validator .
«Шесть новых пакетов, которые в общей сложности были загружены более 330 раз, точно имитируют названия широко известных библиотек, используя известную тактику тайпсквоттинга, применяемую связанными с Lazarus злоумышленниками для обмана разработчиков», — сообщил в своем блоге Кирилл Бойченко, аналитик по угрозам компании Socket.
Lazarus Group также «создала и поддерживала репозитории GitHub для пяти вредоносных пакетов, создавая видимость легитимности открытого исходного кода и увеличивая вероятность интеграции вредоносного кода в рабочие процессы разработчиков», — добавил Бойченко.
Схема именования вредоносных пакетов свидетельствует о том, что Lazarus Group осведомлена о расследовании Socket, посвященном его предыдущей вредоносной деятельности npm. В частности, один из пакетов, is-buffer-validator, напоминает модуль is-buffer, впервые созданный генеральным директором Socket Фероссом Абухадидже в 2015 году. Легитимный пакет is-buffer был скачан более 134 миллионов раз.
По данным Socket, вредоносный код, встроенный во вредоносные пакеты, повторяет приемы, которые были замечены в предыдущих кампаниях, связанных с Lazarus Group, включая самовызывающиеся функции, динамические конструкторы функций и сдвиг массива для сокрытия функциональности пакетов.
Вредоносное ПО BeaverTail позволяет реализовать многоэтапную доставку полезной нагрузки и механизмы сохранения для долгосрочного доступа. Код собирает данные о системной среде, извлекает конфиденциальные файлы входа и архивы цепочек ключей.
Исследователи Socket заявили, что вредоносное ПО также нацелено на криптовалютные кошельки, извлекая id.json из Solana и exodus.wallet из Exodus, которые затем загружаются на жестко запрограммированный сервер C2, что соответствует другой тактике Lazarus Group, включающей сбор и передачу украденных данных.
По данным правительства США, печально известная группа хакеров, созданная Северной Кореей ещё в 2007 году, в прошлом месяце похитила Ethereum на сумму 1,46 млрд долларов с криптовалютной биржи ByBit. Это была крупнейшая известная финансовая кража в истории.
По данным Socket, связанная с Северной Кореей группа хакеров внедрила вредоносное ПО BeaverTail в пакеты npm для установки бэкдоров и кражи учётных данных и данных криптовалютных кошельков. Вредоносный код нацелен на npm, менеджер пакетов для языка программирования JavaScript, поддерживаемый дочерней компанией GitHub, принадлежащей Microsoft.
Представитель GitHub сообщил, что все шесть вредоносных пакетов были удалены в среду.
Исследователи Socket сообщили, что пакеты, содержащие вредоносное ПО BeaverTail, соответствующие предыдущей тактике Lazarus, включают is-buffer-validator , yoojae-validator , event-handle-package , array-empty-validator , react-event-dependency и auth-validator .
«Шесть новых пакетов, которые в общей сложности были загружены более 330 раз, точно имитируют названия широко известных библиотек, используя известную тактику тайпсквоттинга, применяемую связанными с Lazarus злоумышленниками для обмана разработчиков», — сообщил в своем блоге Кирилл Бойченко, аналитик по угрозам компании Socket.
Lazarus Group также «создала и поддерживала репозитории GitHub для пяти вредоносных пакетов, создавая видимость легитимности открытого исходного кода и увеличивая вероятность интеграции вредоносного кода в рабочие процессы разработчиков», — добавил Бойченко.
Схема именования вредоносных пакетов свидетельствует о том, что Lazarus Group осведомлена о расследовании Socket, посвященном его предыдущей вредоносной деятельности npm. В частности, один из пакетов, is-buffer-validator, напоминает модуль is-buffer, впервые созданный генеральным директором Socket Фероссом Абухадидже в 2015 году. Легитимный пакет is-buffer был скачан более 134 миллионов раз.
По данным Socket, вредоносный код, встроенный во вредоносные пакеты, повторяет приемы, которые были замечены в предыдущих кампаниях, связанных с Lazarus Group, включая самовызывающиеся функции, динамические конструкторы функций и сдвиг массива для сокрытия функциональности пакетов.
Вредоносное ПО BeaverTail позволяет реализовать многоэтапную доставку полезной нагрузки и механизмы сохранения для долгосрочного доступа. Код собирает данные о системной среде, извлекает конфиденциальные файлы входа и архивы цепочек ключей.
Исследователи Socket заявили, что вредоносное ПО также нацелено на криптовалютные кошельки, извлекая id.json из Solana и exodus.wallet из Exodus, которые затем загружаются на жестко запрограммированный сервер C2, что соответствует другой тактике Lazarus Group, включающей сбор и передачу украденных данных.
По данным правительства США, печально известная группа хакеров, созданная Северной Кореей ещё в 2007 году, в прошлом месяце похитила Ethereum на сумму 1,46 млрд долларов с криптовалютной биржи ByBit. Это была крупнейшая известная финансовая кража в истории.
