Северокорейские хакеры атакуют GitHub и npm-пакеты
Lazarus Group, ответственная за многочисленные кибератаки, запустила новую кампанию, нацеленную на разработчиков ПО и криптокошельки.
Согласно новому исследованию команды STRIKE из компании SecurityScorecard, хакерская группировка применяет новые, более продвинутые методы атак.
Атака, получившая название Operation Marstech Mayhem, основана на внедрении вредоносного кода в открытые репозитории GitHub и npm-пакеты (Node Package Manager)
В отличие от предыдущих атак, хакеры используют более изощрённые и малозаметные методы, что значительно усложняет их обнаружение.
Механика атаки
Северокорейские хакеры нацелены в первую очередь на разработчиков. Схема взлома выглядит так: хакеры создают поддельные репозитории с вредоносным кодом, а затем продвигают их через соцсети, например Discord и GitHub.
Когда жертва клонирует и запускает репозиторий, вредоносное ПО активируется в фоновом режиме, предоставляя хакерам доступ к системе для дальнейшего взлома.
По данным STRIKE, уже зафиксировано 233 случая взлома в США, Европе и Азии. Однако исследователи предупреждают, что число пострадавших будет расти из-за широкого распространения открытых репозиториев.
Вредоносный код Marstech, появившийся, по данным специалистов, впервые в декабре 2024 года, был связан с GitHub-профилем Success Friend, который, по мнению STRIKE, принадлежит группе Lazarus.
Lazarus Group переключилась на криптовалюты и блокчейн
Аналитики STRIKE выявили аккаунт, связанный с атакой. В его био были указаны навыки веб-разработки и изучение блокчейна — такой подход часто использует Lazarus Group.
Профиль SuccessFriend появился в июле 2024 года. Изначально он публиковал легитимный код, чтобы завоевать доверие разработчиков. Однако в ноябре 2024 года в его репозиториях начали появляться файлы, связанные с хакерской атакой.
По данным STRIKE, хакеры нацелены на криптокошельки MetaMask, Exodus и Atomic, атакуя устройства на Windows, macOS и Linux. Вредоносное ПО сканирует систему, выявляет кошельки, считывает содержимое файлов и извлекает метаданные.
Программа находит директории кошельков, извлекает приватные ключи и передаёт их на C2-сервер. Кроме того, вредоносное ПО может модифицировать файлы конфигурации браузера, незаметно вписывая код для перехвата транзакцийобъясняют эксперты.
Программа собирает и извлекает данные, похищая конфиденциальную информацию из целевых папок. Кроме того, в коде используются методы защиты от анализа, которые затрудняют исследование и деактивацию вредоносной программы.
Читайте также: Северокорейские хакеры оказались плохими трейдерами?
Крипторынку стоит быть начеку
В 2024 году хакеры похитили $2,2 млрд в ходе 303 атак на криптопроекты. За рядом крупнейших взломов стояли северокорейские группировки. В ответ власти и организации усиливают борьбу с киберпреступностью. В декабре 2024 года Южная Корея ввела санкции против компаний и частных лиц, причастных к кражам криптовалют.
Исследование STRIKE показывает, что хакеры постоянно меняют методы атак. Они используют GitHub для распространения вредоносного кода, публикуют фейковые вакансии и применяют различные уловки для заражения устройств.
Чтобы защитить себя, следуйте основным правилам кибербезопасности, будьте в курсе актуальных киберугроз и тщательно проверяйте открытый код перед использованием.
Остерегайтесь подозрительных сообщений, в которых вас уговаривают использовать определённые пакеты — социальная инженерия остаётся одним из ключевых инструментов хакеров. Также следите за активностью сети: необычный исходящий трафик может свидетельствовать об утечке ваших данных.
Автор
Web3-райтер и по совместительству крипто-HODLер. Отслеживает тенденции рынка, а также интересуется новейшими технологиями.
Рекомендуем