朝鲜黑客利用npm恶意软件感染300多名开发人员，以窃取加密货币

朝鲜黑客利用npm恶意软件感染300多名开发人员，以窃取加密货币

Lazarus Group已经感染了数百名软件开发人员，通过npm包部署恶意软件来窃取凭证、提取加密钱包数据并安装持久后门。

根据Socket研究团队的研究，来自Lazarus的朝鲜黑客向npm上传了六个恶意软件包，针对开发人员和加密用户。

这些恶意软件已被下载超过300次，旨在窃取登录凭据、部署后门以及从Solana和Exodus钱包中提取敏感数据。

该恶意软件专门针对浏览器配置文件，扫描Chrome、Brave和Firefox的文件以及macOS钥匙串数据。

Lazarus如何传播恶意软件

已识别的恶意软件包括：

• 缓冲区验证器
• yoojae-验证器
• 事件处理包
• 数组空验证器
• 反应事件依赖性
• 授权验证器

这些软件包使用了域名抢注技术来诱骗开发人员以稍微拼写错误的名称下载它们。

Socket Security的威胁分析师Kirill Boychenko表示：“被盗数据随后被传输到位于hxxp://172.86.84[.]38:1224/uploads的硬编码C2服务器，这符合Lazarus收集和泄露泄露信息的详尽策略。”

减轻威胁

Socket Security称，Lazarus和其他高级威胁行为者预计将进一步改进其渗透策略。

为了降低这些风险，组织应该实施多层安全方法，包括：

• 自动依赖审计和代码审查，以检测第三方包中的异常，特别是下载量低或来源未经验证的包。
• 持续监控依赖项变化以发现恶意更新。
• 阻止与已知C2端点的出站连接，以防止数据泄露。
• 在受控环境中隔离不受信任的代码并部署端点安全解决方案来检测可疑的文件系统或网络活动。
• 教育开发人员有关域名抢注策略的知识，以在安装新软件包之前增强警惕性和适当的验证。

正如我们所写，在加密货币安全漏洞事件持续发酵的戏剧性转折中，当局已将臭名昭著的Lazarus集团认定为最近Bybit漏洞的幕后策划者。