Nhóm Lazarus liên kết với Triều Tiên lại hoạt động trở lại

Nhóm Lazarus, liên quan đến Triều Tiên, đang nhắm tới hệ sinh thái JavaScript với một lô phần mềm độc hại mới đánh cắp tài sản kỹ thuật số.

Lazarus Nhắm Tới Hệ Sinh Thái JavaScript

Theo nền tảng bảo mật mã Socket, Lazarus đã cải tiến các cuộc tấn công vào lĩnh vực tài sản kỹ thuật số. Họ đã triển khai sáu gói độc hại nhắm tới Trình Quản Lý Gói Node (npm), được sử dụng rộng rãi để cài đặt và quản lý các gói JavaScript. Phần mềm độc hại được thiết kế để đánh cắp dữ liệu tài sản kỹ thuật số và các thông tin xác thực khác trong khi triển khai một cửa hậu cho các cuộc tấn công trong tương lai.

Đến tuần trước, sáu gói này đã được tải xuống 330 lần. Được thiết kế để bắt chước các thư viện đáng tin cậy, Lazarus sử dụng chiến thuật typosquatting để nâng cao độ tin cậy của mình. Họ cũng duy trì các kho GitHub cho năm trong số sáu gói độc hại, khiến tính hợp pháp của chúng có vẻ mạnh mẽ hơn. Socket đã yêu cầu GitHub gỡ bỏ những gói này.
r use social engineering techniques to trick YouTubers into believing that they need these tools to reach a wider audience, thereby leading to the inclusion of the malware in their videos.

Việc khó khăn trong việc gán trách nhiệm cho phần mềm độc hại về phía Lazarus, nhưng nó công nhận rằng nó có những đặc điểm của các chiến thuật và công nghệ của nhóm này. Điều này bao gồm các kỹ thuật làm mờ tương tự và phương pháp đánh cắp dữ liệu được tìm thấy trong các cuộc tấn công Lazarus trước đây, chẳng hạn như việc trích xuất các tập tin nhạy cảm từ hồ sơ trình duyệt và ví tài sản kỹ thuật số.

Lazarus có lịch sử xâm nhập vào các mạng lưới và đánh cắp từ các ví kỹ thuật số, bao gồm một vụ cướp nổi bật gần đây liên quan đến vụ tấn công trị giá 1,4 tỷ USD của Bybit, lớn nhất trong lĩnh vực tài sản kỹ thuật số.

Những kẻ tấn công tiền điện tử tống tiền các YouTuber

Trong một báo cáo riêng, Kaspersky phát hiện rằng những tội phạm mạng đang tống tiền các YouTuber để họ bao gồm phần mềm độc hại khai thác tiền điện tử trong mô tả video của họ. Những kẻ phạm tội này ngụy trang phần mềm độc hại dưới dạng công cụ để vượt qua các giới hạn địa lý, điều này đã trở nên phổ biến ở những khu vực có kiểm soát internet nghiêm ngặt.

Trong sáu tháng qua, Kaspersky đã phát hiện ra hơn 2,4 triệu trình điều khiển liên quan đến những công cụ vượt qua này. Những kẻ tấn công thường sử dụng các kỹ thuật kỹ thuật xã hội để đánh lừa các YouTuber nghĩ rằng họ cần những công cụ này để tiếp cận một đối tượng rộng lớn hơn, do đó dẫn đến việc bao gồm phần mềm độc hại trong các video của họ.
n yêu cầu người dùng vô hiệu hóa các biện pháp bảo mật của máy PC, cho phép cài đặt phần mềm độc hại mà không bị phát hiện. Các mục tiêu thường là YouTuber, vì những tên tội phạm này nhắm đến việc tiếp cận rộng rãi hơn.

Kaspersky đã cung cấp một ví dụ về một YouTuber với 60.000 người đăng ký, người bị gây áp lực để bao gồm một liên kết đến các nguồn tài nguyên phần mềm độc hại sau khi bị khiếu nại vi phạm bản quyền giả mạo đối với video của anh ấy. Một YouTuber khác với 340.000 người đăng ký cũng đã đối mặt với tình huống tương tự.

Phần mềm độc hại cryptojacking, dựa trên XMRig, có thể khai thác trái phép tài sản như Ether và Monero trong khi tránh bị phát hiện. Mặc dù có sự suy giảm trong các trường hợp cryptojacking, nhưng tội phạm vẫn đang nhắm đến một loạt thiết bị, ngay cả việc xâm nhập vào các máy của cơ quan liên bang.

Xem: Các nguyên tắc cơ bản về an ninh mạng trong thời đại kỹ thuật số ngày nay với AI & Web3