Lazarus inficerer nyt parti af JavaScript-pakker med kryptostjælende malware: Forskere

I et nyt angreb er Nordkoreas Lazarus-gruppe blevet knyttet til seks nye ondsindede npm-pakker.
Opdaget af Socket Research Team forsøger det seneste angreb at implementere bagdøre for at stjæle legitimationsoplysninger.
Lazarus er den berygtede nordkoreanske hackergruppe, der er blevet knyttet til den nylige $1,4 milliarder Bybit-hack, $41 millioner hack af krypto-kasino Stake og en $27 millioner hack af krypto-børsen CoinEx samt utallige andre i kryptoindustrien.
Gruppen blev også oprindeligt knyttet til den $235 millioner hack af den indiske krypto-børs WazirX i juli 2024. Men sidste måned anholdt Delhis Politis Intelligence Fusion and Strategic Operations (IFSO)-afdeling en mand fra Bengal og beslaglagde tre bærbare computere i forbindelse med udnyttelsen.
Denne nye runde af malware knyttet til Lazarus kunne også udtrække kryptodata ved at stjæle følsomme data fra Solana og Exodus kryptopunge. Angrebet fungerer ved at sigte mod filer i Google Chrome, Brave og Firefox-browsere samt nøgleringsdata på macOS, specifikt rettet mod udviklere, der muligvis uvidende installerer pakkerne.
“Det er udfordrende at tilskrive dette angreb definitivt til Lazarus eller en sofistikeret kopi, da absolut tilskrivning er grundlæggende svært,” skrev Kirill Boychenko, trusselsanalytiker hos Socket Security, i et blogindlæg. “Imidlertid stemmer de taktikker, teknikker og procedurer (TTP’er), der observeres i dette npm-angreb, nøje overens med Lazarus’s kendte operationer, omfattende dokumenteret af forskere fra Unit42, eSentire, DataDog, Phylum og andre siden 2022.”
De seks identificerede pakker er: is-buffer-validator, yoojae-validator, event-handle-package, array-empty-validator, react-event-dependency og auth-validator. Disse virker ved at bruge ‘typosquatting’, med stavefejlede navne, for at narre udviklere til at installere dem.
Ifølge Boychenko: “APT-gruppen har oprettet og vedligeholdt GitHub-depoter for fem af de ondsindede pakker, hvilket giver et udseende af åben kilde-legitimitet og øger sandsynligheden for, at skadelig kode integreres i udvikleres arbejdsgange.”
Pakkerne er samlet blevet downloadet over 330 gange, og på tidspunktet for publicering har Socket Team anmodet om deres fjernelse efter at have rapporteret GitHub-depoter og brugerkonti.
Denne type teknik er tidligere blevet brugt af Lazarus, med et Bybit-udvekslingskup, der blev vurderet til et tab på omkring $1,4 milliarder i Ethereum. Cirka 20 procent af de stjålne midler er blevet uopdrivelige.
I en erklæring sagde Bybits administrerende direktør, Ben Zhou: “77 % er stadig sporbar, 20 % er gået i sort, 3 % er blevet frosset.”
Boychenko siger: “Gruppens taktikker stemmer overens med tidligere kampagner, der udnytter flertrinslaster for at opretholde langvarig adgang, noterer cybersikkerhedseksperterne.”
Redigeret af James Rubin.