Північнокорейські хакери атакують GitHub і npm-пакети
Lazarus Group, відповідальна за численні кібератаки, запустила нову кампанію, націлену на розробників ПЗ і криптогаманці.
Згідно з новим дослідженням команди STRIKE компанії SecurityScorecard, хакерське угруповання застосовує нові, більш просунуті методи атак.
Атака, що отримала назву Operation Marstech Mayhem, заснована на впровадженні шкідливого коду у відкриті репозиторії GitHub і npm-пакети (Node Package Manager).
На відміну від попередніх атак, хакери використовують більш витончені та малопомітні методи, що значно ускладнює їхнє виявлення.
Механіка атаки
Північнокорейські хакери націлені насамперед на розробників. Схема злому має такий вигляд: хакери створюють підроблені репозиторії зі шкідливим кодом, а потім просувають їх через соцмережі, зокрема Discord і GitHub.
Коли жертва клонує і запускає репозиторій, шкідливе ПЗ активується у фоновому режимі, надаючи хакерам доступ до системи для подальшого злому.
За даними STRIKE, вже зафіксовано 233 випадки злому у США, Європі та Азії. Однак дослідники попереджають, що кількість постраждалих зростатиме через поширення відкритих репозиторіїв.
Шкідливий код Marstech, що з'явився, за даними фахівців, уперше в грудні 2024 року, був пов'язаний із GitHub-профілем Success Friend, який, на думку STRIKE, належить групі Lazarus.
Lazarus Group зосередилася на криптовалютах і блокчейні
Аналітики STRIKE виявили акаунт, пов'язаний з атакою. У його біо були вказані навички веброзроблення та вивчення блокчейну — такий підхід часто використовує Lazarus Group.
Профіль SuccessFriend з'явився в липні 2024 року. Спочатку він публікував легітимний код, щоб завоювати довіру розробників. Однак у листопаді 2024 року в його репозиторіях почали з'являтися файли, пов'язані з хакерською атакою.
За даними STRIKE, хакери націлені на криптогаманці MetaMask, Exodus і Atomic, атакуючи пристрої на Windows, macOS і Linux. Шкідливе ПЗ сканує систему, виявляє гаманці, зчитує вміст файлів і витягує метадані.
Програма знаходить директорії гаманців, витягує приватні ключі та передає їх на C2-сервер. Крім того, шкідливе ПЗ може модифікувати файли конфігурації браузера, непомітно вписуючи код для перехоплення транзакційпояснюють експерти.
Програма збирає і витягує дані, викрадаючи конфіденційну інформацію з цільових папок. Крім того, в коді використовують методи захисту від аналізу, які ускладнюють дослідження і деактивацію шкідливої програми.
Читайте також: Північнокорейські хакери виявилися поганими трейдерами?
Крипторинку варто бути насторожі
У 2024 році хакери викрали $2,2 млрд під час 303 атак на криптопроєкти. За низкою найбільших зломів стояли північнокорейські угруповання. У відповідь країни та організації посилюють боротьбу з кіберзлочинністю. У грудні 2024 року Південна Корея ввела санкції проти компаній і приватних осіб, причетних до крадіжок криптовалют.
Дослідження STRIKE показує, що хакери постійно змінюють методи атак. Вони використовують GitHub для поширення шкідливого коду, публікують фейкові вакансії та застосовують різні хитрощі для зараження пристроїв.
Щоб захистити себе, дотримуйтесь основних правил кібербезпеки, будьте в курсі актуальних кіберзагроз і ретельно перевіряйте відкритий код перед використанням.
Остерігайтеся підозрілих повідомлень, у яких вас переконують використовувати певні пакети — соціальна інженерія залишається одним із ключових інструментів хакерів. Також стежте за активністю мережі: незвичайний вихідний трафік може свідчити про витік ваших даних.
Автор
Web3-райтер і крипто-HODLер за сумісництвом. Стежить за ринковими трендами та цікавиться новітніми технологіями.
Рекомендуємо