حمله بزرگ لازاروس به توسعه‌دهندگان کریپتو؛ بدافزار در کمین متامسک و اکسودوس

افزایش روش‌های سرقت رمزارز توسط هکرهای کره شمالی: پنهان‌سازی بدافزار در GitHub و بسته‌های NPM

کره شمالی ماه‌هاست که از طریق حملات زنجیره تأمین NPM، توسعه‌دهندگان رمزارز را هدف قرار داده است. این یک کمپین جهانی بسیار پیچیده به رهبری گروه بدنام لازاروس است که از طریق حملات زنجیره تأمین، به سرقت وجوه و داده‌ها می‌پردازد. از آگوست ۲۰۲۴، این گروه شروع به وارد کردن جاوا اسکریپت مخرب به مخازن GitHub و بسته‌های NPM کرده است. این عملیات به نام Marstech Mayhem شناخته می‌شود و عنوان بدافزار آن Marstech1 است.

علاوه بر این، Marstech1 کیف پول‌های محبوب رمزارز مانند MetaMask، Exodus و Atomic را هدف قرار می‌دهد. کد مخرب بدون شناسایی وارد سیستم می‌شود، کیف پول‌ها را در ویندوز، macOS و لینوکس اسکن می‌کند، کنترل فایل‌های پیکربندی مرورگر را به دست می‌گیرد و شروع به رهگیری تراکنش‌ها و استخراج فراداده‌ها می‌کند. این رویکرد خطر گسترش کد مخرب را افزایش می‌دهد و در نتیجه تهدید زنجیره تأمین نرم‌افزار جهانی را به طور قابل توجهی بالا می‌برد. دیگران ممکن است ناخواسته بسته‌های نرم‌افزاری آلوده را دانلود کرده، آنها را در برنامه‌های مختلف وارد کرده و کاربران بی‌شماری را در معرض خطر قرار دهند.

پنهان‌سازی بدافزار در GitHub و NPM

گروهی که گمان می‌رود لازاروس باشد، جاوا اسکریپت مخرب را در مخازن GitHub و بسته‌های NPM پنهان می‌کند که معمولاً توسط توسعه‌دهندگان رمزارز و Web3 استفاده می‌شود. NPM مدیر بسته پیش‌فرض برای پلتفرم Node.js است و برای نصب، انتشار و مدیریت بسته‌های Node.js استفاده می‌شود. در واقع، طبق گزارش Contrast Security، NPM "بزرگترین مخزن کد زبان در جهان" است.

گزارشی از شرکت امنیت سایبری SecurityScorecard در ۳۰ ژانویه بیان کرد که لازاروس در حال تغییر بسته‌های نرم‌افزاری قانونی با جاسازی درهای پشتی پنهان و سپس فریب توسعه‌دهندگان برای اجرای این بسته‌های آلوده است. "برای چشم غیرمسلح، این موضوع توسط قربانی نادیده گرفته می‌شود و به طور موفقیت‌آمیزی اجرا می‌شود. این بسته‌ها ممکن است شامل هر چیزی از برنامه‌های رمزارز تا راه‌حل‌های احراز هویت باشند."

SecurityScorecard ۲۳۳ قربانی فردی تأیید شده را شناسایی کرد که بین سپتامبر ۲۰۲۴ و ژانویه ۲۰۲۵، implant جدید Marstech1 را نصب کرده‌اند. بسیاری از ویژگی‌های این کد "تکامل مهارت‌های کره شمالی" را نشان می‌دهد. علاوه بر این، implant اکنون با لایه‌های متعدد پنهان‌سازی همراه است که نشان‌دهنده تلاش مداوم برای پیشرفت تکنیک و جلوتر ماندن از اقدامات شناسایی است. بنابراین، وابستگی توسعه‌دهندگان رمزارز/Web3 به NPM همراه با توانایی Marstech1 در پنهان‌سازی خود، خطر بزرگی برای این فضا ایجاد می‌کند.

"این تحلیل به وضوح نشان می‌دهد که لازاروس در حال هدایت یک عملیات جهانی برای هدف قرار دادن صنعت رمزارز و توسعه‌دهندگان در سراسر جهان بوده است. این کمپین‌ها منجر به صدها قربانی شده‌اند که payloadها را دانلود و اجرا کرده‌اند، در حالی که در پس‌زمینه، داده‌های استخراج شده به پیونگ‌یانگ منتقل می‌شدند."