V poslednej dobe bola odhalená rozsiahla kampaň severokórejskej hackerskej skupiny Lazarus, ktorá útočí prostredníctvom softvérového registra npm (Node package manager). Šesť škodlivých balíčkov, ktoré boli objavené, slúžia na odcudzenie citlivých údajov, nasadenie zadných vrátok a extrakciu informácií o kryptomenách.
Tím Socket Research Team odhalil túto kampaň, ktorá má priame spojenie s predchádzajúcimi útokmi skupiny Lazarus. Hackeri využívajú techniku tzv. typosquattingu, teda vytvárajú balíčky s názvami podobnými populárnym knižniciam, aby oklamali vývojárov a prinútili ich k náhodnej inštalácii. Typosquatting funguje tak, že sa vytvárajú balíčky s menami, ktoré sú veľmi podobné známych knižniciam, čo môže viesť k omylom pri inštalácii.
Škodlivé balíčky
Nasledujúca tabuľka zoznamuje škodlivé balíčky a ich funkcie:
| Balíček | Funkcia |
|---|---|
| is-buffer-validator | Napodobňuje populárnu knižnicu is-buffer a slúži na odcudzenie prihlasovacích údajov4. |
| yoojae-validator | Falošná validačná knižnica, ktorá extrahuje citlivé údaje z infikovaných systémov4. |
| event-handle-package | Maskovaný ako nástroj na spracovanie udalostí, ale v skutočnosti nasadzuje zadné vrátka pre vzdialený prístup4. |
| array-empty-validator | Podvodný balíček určený na zhromažďovanie prihlasovacích údajov systému a prehliadača. |
| React-event-dependency | Predstavuje sa ako pomôcka React, ale spúšťa malvér na kompromitovanie vývojárskeho prostredia. |
| auth-validator | Napodobňuje nástroje na overenie overenia, aby ukradol prihlasovacie údaje a kľúče API. |
Škodlivé balíčky obsahujú kód, ktorý sa zameriava na odcudzenie citlivých informácií, ako sú kryptomenové peňaženky a údaje prehliadača, vrátane uložených hesiel, súborov cookie a histórie prehliadania. Hackeri využívajú malvér BeaverTail a zadné vrátka InvisibleFerret, ktoré už boli predtým použité v falošných pracovných ponukách.
"Kód je navrhnutý tak, aby zhromažďoval podrobnosti o systémovom prostredí vrátane názvu hostiteľa, operačného systému a systémových adresárov," uvádza správa Socket. "Systematicky iteruje profilmi prehliadača, aby našiel a extrahoval citlivé súbory, ako sú prihlasovacie údaje z prehliadačov Chrome, Brave a Firefox, ako aj archívy kľúčeniek v systéme macOS". Špeciálnu pozornosť hackeri venujú kryptomenovým peňaženkám, konkrétne extrakcii id.json zo Solana a exodus.wallet z Exodusu.
Všetkých šesť škodlivých balíčkov je stále dostupných na npm a úložiskách GitHub, čo znamená, že hrozba je stále aktívna. Vývojárom softvéru sa odporúča, aby dôkladne skontrolovali balíčky, ktoré používajú vo svojich projektoch, a neustále skúmali kód v softvéri s otvoreným zdrojovým kódom, aby našli podozrivé znaky, ako je zahmlený kód a volania na externé servery. Odporúča sa tiež pravidelné aktualizovanie zoznamu používaných balíčkov a overenie ich legitimity.
Zdroj: BleepingComputer,
Zdroj obrázkov: Perplexity AI,
Pridať nový komentár