crypto.news
crypto.news . ۱ سال پیش

حمله جدید لازاروس: سرقت کریپتو با بدافزارهای npm

حمله جدید لازاروس: سرقت کریپتو با بدافزارهای npm

آلودگی صدها توسعه‌دهنده نرم‌افزار توسط لازاروس؛ هدف: کیف پول‌های کریپتو Solana و Exodus

یک کمپین جدید از گروه لازاروس در حال گسترش از طریق بسته‌های npm است که از بدافزار BeaverTail برای سرقت اعتبارنامه‌ها، استخراج داده‌های ارز دیجیتال و استقرار یک درب پشتی مداوم استفاده می‌کند. گروه لازاروس کره شمالی شش بسته مخرب را در npm قرار داده است که توسعه‌دهندگان و کاربران ارزهای دیجیتال را هدف قرار می‌دهند. تحقیقات جدید تیم تحقیقاتی Socket این موضوع را فاش کرده است.

بر اساس یافته‌های آنها، این بسته‌های مخرب که بیش از ۳۰۰ بار دانلود شده‌اند، برای سرقت اطلاعات ورود، استقرار درب‌های پشتی و استخراج داده‌های حساس از کیف پول‌های کریپتو مرتبط با Solana یا Exodus طراحی شده‌اند. این بدافزار به طور خاص پروفایل‌های مرورگر را هدف قرار می‌دهد و فایل‌های Chrome، Brave و Firefox و همچنین داده‌های keychain در macOS را اسکن می‌کند.

بسته‌های شناسایی شده و روش‌های حمله

بسته‌های شناسایی شده — is-buffer-validator، yoojae-validator، event-handle-package، array-empty-validator، react-event-dependency و auth-validator — از تکنیک تایپواسکواتینگ استفاده می‌کنند و با نام‌های اشتباه املایی، توسعه‌دهندگان را فریب می‌دهند تا آنها را نصب کنند. «داده‌های سرقت شده سپس به یک سرور C2 کدگذاری شده در hxxp://172.86.84[.]38:1224/uploads منتقل می‌شوند که مطابق با استراتژی مستند لازاروس در جمع‌آوری و انتقال اطلاعات به خطر افتاده است.»

حملات زنجیره تأمین و هک‌های بزرگ

لازاروس قبلاً از حملات زنجیره تأمین از طریق npm، GitHub و PyPI برای نفوذ به شبکه‌ها استفاده کرده است و به هک‌های بزرگی مانند سرقت ۱.۵ میلیارد دلاری صرافی Bybit کمک کرده است. کارشناسان امنیت سایبری خاطرنشان می‌کنند که تاکتیک‌های این گروه با کمپین‌های گذشته که از payloadهای چندمرحله‌ای برای حفظ دسترسی بلندمدت استفاده می‌کردند، همسو است.

حمله به Bybit و پیامدهای آن

در اواخر فوریه، هکرهای کره شمالی Bybit، یکی از بزرگترین صرافی‌های ارز دیجیتال را هدف قرار دادند و حدود ۱.۴۶ میلیارد دلار ارز دیجیتال را در یک سرقت بسیار پیچیده به سرقت بردند. گزارش شده است که این حمله با به خطر انداختن رایانه یکی از کارکنان Safe، ارائه‌دهنده فناوری Bybit انجام شده است. کمتر از دو هفته پس از این نقض، مدیرعامل Bybit، بن ژو، اعلام کرد که حدود ۲۰٪ از وجوه سرقت شده به دلیل استفاده هکرها از خدمات میکسینگ غیرقابل ردیابی شده است.

نوشته شده توسط admin
160

نظرات

هنوز دیدگاهی ثبت نشده است.