Sáu gói độc hại đã được xác định trên npm (trình quản lý gói Node) có liên quan đến nhóm tin tặc khét tiếng Lazarus của Bắc Triều Tiên

Các gói này, đã được tải xuống 330 lần, được thiết kế để đánh cắp thông tin đăng nhập tài khoản, triển khai cửa hậu trên các hệ thống bị xâm nhập và trích xuất thông tin nhạy cảm về tiền điện tử.

Nhóm Nghiên cứu Socket đã phát hiện ra chiến dịch này, liên kết nó với các hoạt động chuỗi cung ứng Lazarus đã biết trước đó.

Nhóm đe dọa này nổi tiếng với việc đưa các gói độc hại vào các kho phần mềm như npm, nơi được hàng triệu nhà phát triển JavaScript sử dụng, và âm thầm xâm nhập các hệ thống.

Các chiến dịch tương tự được cho là do cùng một nhóm đe dọa thực hiện đã được phát hiện trên GitHub và Python Package Index (PyPI).

Chiến thuật này thường cho phép chúng tiếp cận ban đầu vào các mạng lưới có giá trị và thực hiện các cuộc tấn công quy mô lớn kỷ lục, chẳng hạn như vụ trộm tiền điện tử trị giá 1,5 tỷ đô la gần đây từ sàn giao dịch Bybit.

Sáu gói Lazarus được phát hiện trong npm đều sử dụng chiến thuật typosquatting (gõ nhầm tên) để lừa các nhà phát triển cài đặt nhầm :

1.

is-buffer-validator – Gói độc hại giả mạo thư viện is-buffer phổ biến để đánh cắp thông tin đăng nhập.

2.

yoojae-validator – Thư viện xác thực giả mạo được sử dụng để trích xuất dữ liệu nhạy cảm từ các hệ thống bị nhiễm.

3.

event-handle-package – Ngụy trang dưới dạng một công cụ xử lý sự kiện nhưng triển khai một cửa hậu để truy cập từ xa.

4.

array-empty-validator – Gói gian lận được thiết kế để thu thập thông tin hệ thống và trình duyệt.

5.

react-event-dependency – Giả dạng một tiện ích React nhưng thực thi phần mềm độc hại để xâm nhập môi trường của nhà phát triển.

6.

auth-validator – Mô phỏng các công cụ xác thực để đánh cắp thông tin đăng nhập và khóa API.

Các gói này chứa mã độc hại được thiết kế để đánh cắp thông tin nhạy cảm, chẳng hạn như ví tiền điện tử và dữ liệu trình duyệt chứa mật khẩu đã lưu, cookie và lịch sử duyệt web.

Chúng cũng tải xuống phần mềm độc hại BeaverTail và cửa hậu InvisibleFerret, những công cụ mà Bắc Triều Tiên trước đây đã triển khai trong các lời mời làm việc giả mạo dẫn đến việc cài đặt phần mềm độc hại.

Đoạn mã tải xuống các payload phần mềm độc hại Nguồn: Socket “Mã được thiết kế để thu thập chi tiết môi trường hệ thống, bao gồm tên máy chủ, hệ điều hành và thư mục hệ thống,” báo cáo của Socket giải thích.

“Nó có hệ thống lặp qua các hồ sơ trình duyệt để định vị và trích xuất các tệp nhạy cảm như Login Data từ Chrome, Brave và Firefox, cũng như các kho lưu trữ keychain trên macOS”.

“Đáng chú ý, phần mềm độc hại này còn nhắm mục tiêu vào các ví tiền điện tử, đặc biệt là trích xuất id.json từ Solana và exodus.wallet từ Exodus”.

Tất cả sáu gói Lazarus vẫn có sẵn trên npm và các kho lưu trữ GitHub, vì vậy mối đe dọa vẫn còn hoạt động.

Các nhà phát triển phần mềm được khuyên nên kiểm tra kỹ các gói họ sử dụng cho dự án của mình và liên tục xem xét kỹ lưỡng mã nguồn mở để tìm các dấu hiệu đáng ngờ như mã bị xáo trộn và các lệnh gọi đến máy chủ bên ngoài.

Security365