Новая кампания группы Lazarus: северокорейские хакеры распространяют вредоносное ПО через GitHub и пакеты с открытым кодом

Исследователи безопасности обнаружили вредоносный код в пакетах NPM и коммитах GitHub. Код был связан с аккаунтом, управляемым группой Lazarus. На данный момент подтверждено более 200 жертв.

Известная северокорейская хакерская группа Lazarus Group запустила кампанию по атакам на разработчиков программного обеспечения и Web3, используя «недетектируемое» вредоносное ПО. Исследователи безопасности из STRIKE от SecurityScorecard сообщили о том, что обнаружили внедрение вредоносных кодов в репозитории GitHub и пакеты NPM, где их случайные разработчики могут использовать для интеграции с собственными проектами.

Исследователи отметили, что профиль SuccessFriend на GitHub, известный своей связью с Lazarus, внедрил JavaScript-модули в репозитории GitHub. Эти модули маскируются под легитимный код, делая их трудными для обнаружения. Дополнительное усложнение заключается в том, что профиль также размещает безвредный код для скрытия своих злонамеренных намерений.

Распространение вредоносного ПО происходит через пакеты NPM, которые широко используются разработчиками криптовалют и проектов Web3. Исследователи назвали эту кампанию Marstech Mayhem, так как используемое вредоносное ПО называется Marstech1.

После внедрения на жертве, программа сканирует системы для MetaMask, Exodus и Atomic кошельков. Она модифицирует конфигурационные файлы браузеров для внедрения подкрадывающихся payload'ов, которые могут перехватывать транзакции.

С учетом этого можно предположить, что Lazarus по-прежнему занимается кражей криптовалюты в интересах северокорейского правительства. Ранние отчеты утверждали, что правительство использует украденную криптовалюту для финансирования своей государственной машины и программы ядерного оружия.

По состоянию на сегодняшний день STRIKE подтвердила по меньшей мере 233 жертвы в США, Европе и Азии. Старший вице-президент SecurityScorecard по угрозам исследованиям и разведке Райан Шерстобитов (Ryan Sherstobitoff) заявил, что Marstech1 имеет «многоуровневые техники маскировки», включая выравнивание потока управления в JavaScript и динамическое переименование переменных, а также многоэтапное XOR-шифрование в Python. Он призвал организации и разработчиков к активным мерам безопасности, постоянному мониторингу активности цепочки поставок и интеграции передовых решений по угрозам для снижения риска со стороны продвинутых атакующих, таких как Lazarus.