Хакеры из Лазаря снова атаковали! Украдено не только данные, но и крипотмены
Недавно была обнаружена обширная кампания от северокорейской хакерской группы Lazarus, атаковая через реестр административного программного обеспечения Package Noda. Шесть обнаруженных пакетов используются для кражи чувствительных данных, развертывания задней воды и извлечения криптовалют.
Исследовательская группа Socket показала эту кампанию, которая имеет прямые отношения с предыдущими атаками Лазаря. Хакеры используют технику так называемого. PyposquattyТаким образом, они создают пакеты с именами, похожими на популярные библиотеки, чтобы обмануть разработчиков и заставлять их случайно установить. Типосокватинг работает создание имен с именами, очень похожими на неизвестные библиотеки, которые могут привести к установке ошибок.
Вредные пакеты
Следующая таблица представляет вредоносные пакеты и их функции:
| Упаковка | Функция |
|---|---|
| Есть буферный порошок | Это имитирует популярность буферной библиотеки и служит краже входа в систему Data4. |
| Yoojae vividist | Библиотека ложных валидаций, которая извлекает конфиденциальные данные из инфицированных систем4. |
| Пакет соревнований | Замаскирован как инструмент для обработки событий, но на самом деле он ставит заднюю дверь для удаленного доступа4. |
| Массив-пупистский | Пакет мошенничества, предназначенный для сбора данных системы и браузера. |
| Реакция-экологически чистая зависимость | Это реагирование, но вызывает вредоносное ПО для компромисса разработчика. |
| Автопродажа | Подражает инструментам управления, чтобы украсть логин API и ключи. |
Злодие пакеты содержат код, который фокусируется на краже конфиденциальной информации, такой как криптомические деньги и данные браузера, включая сохраненные пароли, файлы cookie и историю просмотра. Хакеры используют вредоносное ПО Биверхл И задняя дверь Невидимый хореткоторые уже использовались в ложных работах.
«Код предназначен для сбора подробностей системы -среда системы, включая имя хоста, операционную систему и папки системы», -говорится в отчете Сокета. «Систематически находить и извлекать конфиденциальные файлы, такие как Chrome, Brave и Firefox -log, а также архивы архивов ключей в macOS». Хакеры обращают особое внимание на криптовалютных монсанс, а именно извлечение id.json Звук и Выход. Wallet выхода.
Все шесть вредоносных пакетов по -прежнему доступны на Github NPM и Github Storage, что означает, что угроза все еще активна. Разработчики разработчиков советуют тщательно проверять пакеты, которые они используют в своих проектах, и постоянно изучают код в программном обеспечении с открытым исходным кодом, чтобы найти подозрительных символов, таких как код Elkov, и вызов внешних серверов. Также рекомендуется регулярно обновлять список используемых пакетов и контролировать их легитимность.
Источник: BleepingComputer,
Источник изображений: недоумение AI,
Автор публикации
КОММЕНТЫ