Scroll untuk baca artikel
Networking

Peretas Lazarus Korea Utara menginfeksi ratusan melalui paket NPM

77
×

Peretas Lazarus Korea Utara menginfeksi ratusan melalui paket NPM

Share this article
peretas-lazarus-korea-utara-menginfeksi-ratusan-melalui-paket-npm
Peretas Lazarus Korea Utara menginfeksi ratusan melalui paket NPM

NPM

Enam paket berbahaya telah diidentifikasi di NPM (Node Package Manager) yang terhubung dengan kelompok peretasan Korea Utara yang terkenal Lazarus.

Example 300x600

Paket -paket tersebut, yang telah diunduh 330 kali, dirancang untuk mencuri kredensial akun, menggunakan backdoors pada sistem yang dikompromikan, dan mengekstrak informasi cryptocurrency yang sensitif.

Tim peneliti soket menemukan kampanye, yang menghubungkannya dengan operasi rantai pasokan Lazarus yang sebelumnya dikenal.

Kelompok ancaman dikenal karena mendorong paket berbahaya ke dalam pendaftar perangkat lunak seperti NPM, yang digunakan oleh jutaan pengembang JavaScript, dan sistem kompromi secara pasif.

Kampanye serupa yang dikaitkan dengan aktor ancaman yang sama terlihat di GitHub dan Indeks Paket Python (PYPI).

Taktik ini sering memungkinkan mereka untuk mendapatkan akses awal ke jaringan yang berharga dan melakukan serangan pemecah rekor besar-besaran, seperti yang baru-baru ini $ 1,5 miliar Crypto Heist dari Bybit Exchange.

Enam paket Lazarus yang ditemukan di NPM semuanya menggunakan taktik mengetik untuk menipu pengembang ke instalasi yang tidak disengaja:

  1. IS-Buffer-Validator -Paket jahat meniru perpustakaan IS-Buffer yang populer untuk mencuri kredensial.
  2. Yoojae-Validator – Perpustakaan validasi palsu yang digunakan untuk mengekstraksi data sensitif dari sistem yang terinfeksi.
  3. Paket-panduan acara -Menyamar sebagai alat penanganan acara tetapi menggunakan pintu belakang untuk akses jarak jauh.
  4. Validator Array-EMPTY – Paket penipuan yang dirancang untuk mengumpulkan kredensial sistem dan browser.
  5. Bereaksi-Event-Dependency – Pose sebagai utilitas bereaksi tetapi menjalankan malware untuk kompromi lingkungan pengembang.
  6. Auth-validator – Meniru alat validasi otentikasi untuk mencuri kredensial login dan kunci API.

Paket -paket tersebut berisi kode berbahaya yang dirancang untuk mencuri informasi sensitif, seperti dompet cryptocurrency dan data browser yang berisi kata sandi yang tersimpan, cookie, dan riwayat penelusuran.

Mereka juga memuat malware beavertail dan backdoor yang tidak terlihat, yang Korea Utara sebelumnya digunakan Dalam penawaran pekerjaan palsu yang menyebabkan pemasangan malware.

Cuplikan kode yang mengunduh muatan malware
Cuplikan kode yang mengunduh muatan malware
Sumber: Soket

“Kode ini dirancang untuk mengumpulkan detail lingkungan sistem, termasuk nama host, sistem operasi, dan direktori sistem,” menjelaskan laporan soket.

“Ini secara sistematis beralih melalui profil browser untuk menemukan dan mengekstrak file sensitif seperti data login dari Chrome, Brave, dan Firefox, serta arsip gantungan kunci pada macOS.”

“Khususnya, malware juga menargetkan dompet cryptocurrency, secara khusus mengekstraksi id.json dari Solana dan Keluaran.Wallet dari Keluaran.”

Keenam paket Lazarus masih tersedia di NPM dan repositori GitHub, sehingga ancamannya masih aktif.

Pengembang perangkat lunak disarankan untuk memeriksa ulang paket yang mereka gunakan untuk proyek mereka dan terus-menerus meneliti kode dalam perangkat lunak open-source untuk menemukan tanda-tanda mencurigakan seperti kode dan panggilan yang dikalahkan ke server eksternal.