خانه
ثبت نام / ورود
ماینر ها
سبد خرید

لازاروس صدها توسعه‌دهنده نرم‌افزار را آلوده کرده و به کیف‌پول‌های رمزنگاری سولانا و اکسودوس هدف‌گیری می‌کند.


لازاروس صدها توسعه‌دهنده نرم‌افزار را آلوده کرده و به کیف‌پول‌های رمزنگاری سولانا و اکسودوس هدف‌گیری می‌کند. | ایران ماین

یک کمپین جدید Lazarus در حال گسترش از طریق پکیج‌های npm است که از بدافزار BeaverTail برای سرقت اعتبارنامه‌ها، استخراج داده‌های ارز دیجیتال و ایجاد یک درب پشتی دائمی استفاده می‌کند.

گروه Lazarus کره شمالی شش پکیج مخرب را در npm قرار داده است که هدف آن توسعه‌دهندگان و کاربران ارز دیجیتال است، طبق تحقیق جدیدی که توسط تیم تحقیقاتی Socket انجام شده است.

بر اساس یافته‌های آنها، این پکیج‌های مخرب، که بیش از 300 بار دانلود شده‌اند، برای سرقت اعتبارنامه‌های ورود، ایجاد درب پشتی و استخراج داده‌های حساس از کیف‌پول‌های کریپتو مرتبط با Solana یا Exodus طراحی شده‌اند. این بدافزار به‌طور خاص به پروفایل‌های مرورگر هدف قرار می‌دهد و فایل‌ها را از Chrome، Brave و Firefox، و همچنین داده‌های کی چین در macOS اسکن می‌کند.

پکیج‌های شناسایی شده — is-buffer-validator، yoojae-validator، event-handle-package، array-empty-validator، react-event-dependency، و auth-validator — از typosquatting استفاده می‌کنند و توسعه‌دهندگان را با نام‌های اشتباه املایی فریب می‌دهند تا آنها را نصب کنند.

“داده‌های سرقت شده سپس به یک سرور C2 کدگذاری شده در hxxp://172.86.84[.]38:1224/uploads ارسال می‌شود و این به‌خوبی با استراتژی مستند شده Lazarus برای برداشت و انتقال اطلاعات مختل شده مطابقت دارد.”

Kirill Boychenko، تحلیلگر اطلاعات تهدید در Socket Security

Lazarus قبلاً از حملات زنجیره تأمین از طریق npm، GitHub و PyPI برای نفوذ به شبکه‌ها استفاده کرده است که به هک‌های بزرگی مانند سرقت 1.5 میلیارد دلاری از صرافی Bybit کمک کرده است. تاکتیک‌های این گروه با کمپین‌های گذشته که از بارگذاری‌های چند مرحله‌ای برای حفظ دسترسی درازمدت استفاده می‌کنند، هم‌راستاست.

در اواخر فوریه، هکرهای کره شمالی به Bybit، یکی از بزرگترین صرافی‌های ارز دیجیتال، حمله کردند و حدود 1.46 میلیارد دلار ارز دیجیتال را در یک سرقت بسیار پیچیده دزدیدند. گزارش شده است که این حمله با به خطر انداختن رایانه یکی از کارمندان در Safe، تامین‌کننده فناوری Bybit انجام شده است. کمتر از دو هفته پس از نقض، بن ژو، CEO Bybit، اظهار داشت که حدود 20 درصد از وجوه سرقت شده غیرقابل ردیابی شده‌اند، به دلیل استفاده هکرها از خدمات میکسینگ.