لازاروس صدها توسعهدهنده نرمافزار را آلوده کرده و به کیفپولهای رمزنگاری سولانا و اکسودوس هدفگیری میکند.
یک کمپین جدید Lazarus در حال گسترش از طریق پکیجهای npm است که از بدافزار BeaverTail برای سرقت اعتبارنامهها، استخراج دادههای ارز دیجیتال و ایجاد یک درب پشتی دائمی استفاده میکند.
گروه Lazarus کره شمالی شش پکیج مخرب را در npm قرار داده است که هدف آن توسعهدهندگان و کاربران ارز دیجیتال است، طبق تحقیق جدیدی که توسط تیم تحقیقاتی Socket انجام شده است.
بر اساس یافتههای آنها، این پکیجهای مخرب، که بیش از 300 بار دانلود شدهاند، برای سرقت اعتبارنامههای ورود، ایجاد درب پشتی و استخراج دادههای حساس از کیفپولهای کریپتو مرتبط با Solana یا Exodus طراحی شدهاند. این بدافزار بهطور خاص به پروفایلهای مرورگر هدف قرار میدهد و فایلها را از Chrome، Brave و Firefox، و همچنین دادههای کی چین در macOS اسکن میکند.
پکیجهای شناسایی شده — is-buffer-validator، yoojae-validator، event-handle-package، array-empty-validator، react-event-dependency، و auth-validator — از typosquatting استفاده میکنند و توسعهدهندگان را با نامهای اشتباه املایی فریب میدهند تا آنها را نصب کنند.
“دادههای سرقت شده سپس به یک سرور C2 کدگذاری شده در hxxp://172.86.84[.]38:1224/uploads ارسال میشود و این بهخوبی با استراتژی مستند شده Lazarus برای برداشت و انتقال اطلاعات مختل شده مطابقت دارد.”
Kirill Boychenko، تحلیلگر اطلاعات تهدید در Socket Security
Lazarus قبلاً از حملات زنجیره تأمین از طریق npm، GitHub و PyPI برای نفوذ به شبکهها استفاده کرده است که به هکهای بزرگی مانند سرقت 1.5 میلیارد دلاری از صرافی Bybit کمک کرده است. تاکتیکهای این گروه با کمپینهای گذشته که از بارگذاریهای چند مرحلهای برای حفظ دسترسی درازمدت استفاده میکنند، همراستاست.
در اواخر فوریه، هکرهای کره شمالی به Bybit، یکی از بزرگترین صرافیهای ارز دیجیتال، حمله کردند و حدود 1.46 میلیارد دلار ارز دیجیتال را در یک سرقت بسیار پیچیده دزدیدند. گزارش شده است که این حمله با به خطر انداختن رایانه یکی از کارمندان در Safe، تامینکننده فناوری Bybit انجام شده است. کمتر از دو هفته پس از نقض، بن ژو، CEO Bybit، اظهار داشت که حدود 20 درصد از وجوه سرقت شده غیرقابل ردیابی شدهاند، به دلیل استفاده هکرها از خدمات میکسینگ.
