在一項新的攻擊中,北韓的Lazarus組織被與六個新的惡意npm套件相關聯。
由Socket研究團隊發現,這次最新的攻擊試圖部署後門以竊取憑證。
Lazarus是臭名昭著的北韓駭客組織,該組織與最近的$14億Bybit黑客事件、$4100萬加密賭場Stake被盜、以及$2700萬加密交易所CoinEx被盜事件有關,還有無數其他與加密產業相關的事件。
該組織最初也與2024年7月發生的$2.35億印度加密交易所WazirX黑客事件相關聯。但上個月,德里警察的情報融合與戰略行動部(IFSO)逮捕了一名孟加拉男子,並在與該漏洞事件相關的調查中沒收了三台筆記型電腦。
這輪與Lazarus相關的惡意軟體還可能提取加密貨幣數據,竊取來自Solana和Exodus加密錢包的敏感數據。攻擊通過針對Google Chrome、Brave和Firefox瀏覽器中的檔案,以及macOS中的金鑰鏈數據來工作,特別是針對那些可能無意中安裝這些套件的開發者。
“將此攻擊明確歸因於Lazarus或一個高級模仿者仍然具有挑戰性,因為絕對歸因本質上是困難的,”Socket安全公司的威脅情報分析師Kirill Boychenko在一篇博客文章中寫道,”然而,這次npm攻擊中觀察到的戰術、技術和程序(TTPs)與Lazarus的已知操作高度一致,這些操作自2022年以來已經被Unit42、eSentire、DataDog、Phylum等研究人員廣泛記錄。”
已識別出的六個套件分別為:is-buffer-validator、yoojae-validator、event-handle-package、array-empty-validator、react-event-dependency和auth-validator。這些套件利用錯誤拼寫(typosquatting)技術,通過拼寫錯誤的名稱來欺騙開發者安裝它們。
根據Boychenko的說法:”APT組織為五個惡意套件創建並維護了GitHub存儲庫,這樣就看起來像是開源合法性,並增加了有害代碼被集成到開發者工作流程中的可能性。”
這些套件總共被下載了超過330次,並且在發布時,Socket團隊已經提出要求刪除這些套件,並報告了相關的GitHub存儲庫和用戶帳號。
這種技術過去曾被Lazarus使用過,在一次Bybit交易所搶劫事件中,約$14億的以太幣被盜,其中約20%的被盜資金無法追蹤。
Bybit的首席執行官Ben Zhou在一份聲明中表示:”77%的資金仍可追蹤,20%的資金已經消失,3%的資金被凍結。”
Boychenko表示:”該組織的戰術與過去的攻擊活動一致,這些活動利用多階段有效載荷來維持長期訪問,網絡安全專家指出。”
編輯:James Rubin