یک کمپین جدید از گروه لازاروس در حال گسترش از طریق پکیجهای npm است که از بدافزار BeaverTail برای سرقت اطلاعات ورود، استخراج دادههای مرتبط با ارزهای دیجیتال و ایجاد یک درب پشتی دائمی استفاده میکند.
گروه لازاروس کره شمالی شش پکیج مخرب را در npm قرار داده است که به توسعهدهندگان و کاربران ارزهای دیجیتال هدف قرار میگیرند. این اطلاعات جدید از سوی تیم تحقیقاتی Socket منتشر شده است.
طبق یافتههای آنها، این پکیجهای مخرب که بیش از 300 بار دانلود شدهاند، با هدف سرقت اطلاعات ورود، راهاندازی دربهای پشتی و استخراج دادههای حساسی از کیف پولهای ارز دیجیتال مرتبط با سولانا یا اگزودوس طراحی شدهاند. این بدافزار به طور خاص به پروفایلهای مرورگر هدف قرار میگیرد و فایلها را از مرورگرهای کروم، بریو و فایرفاکس، همچنین دادههای کیچین در macOS اسکن میکند.
پکیجهای شناسایی شده شامل — is-buffer-validator، yoojae-validator، event-handle-package، array-empty-validator، react-event-dependency و auth-validator — از تکنیک تایپاسواتینگ استفاده میکنند و توسعهدهندگان را با نامهای نادرست به نصب آنها فریب میدهند.
“دادههای سرقت شده سپس به یک سرور C2 هاردکد شده در hxxp://172.86.84[.]38:1224/uploads منتقل میشوند که به استراتژی مستند شده گروه لازاروس در جمعآوری و انتقال اطلاعات در معرض خطر احترام میگذارد.”
Kirill Boychenko، تحلیلگر تهدید در Socket Security
گروه لازاروس پیش از این از حملات زنجیره تأمین از طریق npm، گیتهاب و PyPI برای نفوذ به شبکهها استفاده کرده و به هکهای بزرگی مانند سرقت 1.5 میلیارد دلاری ارز دیجیتال از صرافی بیبت کمک کرده است. تاکتیکهای این گروه با کمپینهای قبلی که از بارهای چند مرحلهای برای حفظ دسترسی طولانیمدت استفاده میکنند مطابقت دارد، به گفته کارشناسان امنیت سایبری.
در اواخر فوریه، هکرهای کره شمالی به صرافی بیبت، یکی از بزرگترین صرافیهای ارز دیجیتال، حمله کردند و حدود 1.46 میلیارد دلار ارز دیجیتال را در یک سرقت بسیار پیچیده سرقت کردند. گزارش شده است که این حمله با نفوذ به کامپیوتر یک کارمند در Safe، تأمینکننده فناوری بیبت، انجام شده است. کمتر از دو هفته پس از این نفوذ، بنیانگذار بیبت، بن ژو، اعلام کرد که حدود 20٪ از وجوه سرقت شده غیرقابل ردیابی شدهاند، به دلیل استفاده هکرها از خدمات میکسینگ.
