Lazarus Group , hacker della Corea del Nord, ha creato una nuova campagna, prendendo di mira gli sviluppatori di criptovalute attraverso i repository NPM. Hanno introdotto 6 repository, che potrebbero attrarre gli sviluppatori di criptovalute, e hanno aggiunto malware per creare backdoor, infiltrarsi in progetti e rubare credenziali.
Il gruppo di hacker utilizzerebbe BeaverTail, un pacchetto malware, per eseguire un file nascosto sul sistema di destinazione. Il malware ruberebbe quindi le credenziali accedendo ai file del browser e cercando file relativi ai portafogli di criptovaluta come Exodus. I dati rubati verrebbero quindi inviati a un centro di comando e controllo in modo che gli hacker possano accedere facilmente ai file sensibili.
“Attribuire questo attacco”, ha scritto Kirill Boychenko, Socket Seniority Analyst, “in modo definitivo a Lazarus o a un sofisticato imitatore rimane una sfida, poiché l’attribuzione assoluta è intrinsecamente difficile. Tuttavia, le tattiche, le tecniche e le procedure (TTP) osservate in questo attacco npm sono strettamente in linea con le operazioni note di Lazarus, ampiamente documentate dai ricercatori di Unit42, eSentire, DataDog, Phylum e altri dal 2022”.
I repository NPM erano basati su librerie reali, ma utilizzavano typosquatting e ortografie simili per imitare i pacchetti più diffusi e indurre gli sviluppatori a installarli. I pacchetti dannosi sono stati scaricati più di 300 volte, dimostrando la portata dell'attacco.
I sei pacchetti dannosi includono:
- is-buffer-validator – imita la libreria is-buffer e ruba le credenziali.
- yoojae-validator – falso validatore, ruba dati sensibili.
- event-handle-package: finge di essere uno strumento di gestione degli eventi, ma installa una backdoor per l'accesso remoto.
- array-empty-validator: raccoglie le credenziali del browser e del sistema.
- react-event-dependency: finge di essere un'utilità di reazione, ma compromette gli ambienti degli sviluppatori.
- auth-validator: ruba le credenziali di accesso e API.
"Il gruppo APT", ha scritto Boychenko, "ha creato e mantenuto repository GitHub per cinque dei pacchetti dannosi, conferendo un'apparenza di legittimità open source e aumentando la probabilità che il codice dannoso venga integrato nei flussi di lavoro degli sviluppatori".
Il malware è stato progettato per raccogliere informazioni di sistema, come sistema operativo, directory di sistema e nome host, distribuendo questo attacco a centinaia di utenti NPM.
“Itera sistematicamente attraverso i profili del browser”, ha scritto Boychenko, “per individuare ed estrarre file sensibili come i dati di accesso da Chrome, Brave e Firefox, nonché archivi di portachiavi su macOS. In particolare, il malware prende di mira anche i portafogli di criptovaluta, estraendo in particolare id.json da Solana ed exodus.wallet da Exodus”.
Questo attacco fa parte della più ampia strategia del Gruppo Lazarus volta a interrompere le catene di approvvigionamento. Il malware NPM consente loro di prendere di mira gli sviluppatori, una parte vitale della catena di fornitura globale, e di incorporarsi all’interno di sistemi, ambienti di sviluppo e indirizzi crittografici per promuovere i loro attacchi. Metodi simili sono stati utilizzati per prendere di mira i pacchetti pip di GitHub e Python.
“Il monitoraggio continuo di cambiamenti insoliti nelle dipendenze”, ha scritto Boychenko, “può esporre aggiornamenti dannosi mentre il blocco delle connessioni in uscita verso endpoint C2 noti impedisce l’esfiltrazione dei dati. Il sandboxing di codice non attendibile in ambienti controllati e l’implementazione della protezione degli endpoint possono rilevare attività di rete o file system sospette”.
Boychenko solleva un punto critico perché gli sviluppatori, a causa delle scadenze strette, spesso utilizzano molte librerie senza controllarle completamente. La criptovaluta, essendo decentralizzata, consente agli sviluppatori di collaborare su grandi distanze, ma aumenta anche il vettore di attacco dei progetti open source.
Secondo il rapporto 2024 delle Nazioni Unite, gli hacker nordcoreani sono stati responsabili del 35% dei furti di criptovalute, per un totale di 1 miliardo di dollari in criptovalute perse. Gli hacker rappresentano un nuovo tipo di minaccia alla sicurezza, essendo attori statali, perché potrebbero utilizzare la ricchezza accumulata per finanziare programmi di armi nucleari e miglioramenti dei missili balistici.