Một chiến dịch Lazarus mới đang lan rộng qua các gói npm, sử dụng phần mềm độc hại BeaverTail để đánh cắp thông tin đăng nhập, xuất dữ liệu tiền điện tử và triển khai một cửa hậu bền bỉ.
Nhóm Lazarus của Bắc Triều Tiên đã cài đặt sáu gói độc hại trong npm, nhằm vào các nhà phát triển và người dùng tiền điện tử, theo một nghiên cứu mới được thực hiện bởi nhóm nghiên cứu Socket.
Theo phát hiện của họ, các gói độc hại này, đã được tải xuống hơn 300 lần, được thiết kế để đánh cắp thông tin đăng nhập, triển khai cửa hậu và trích xuất dữ liệu nhạy cảm từ ví tiền điện tử liên quan đến Solana hoặc Exodus. Phần mềm độc hại này đặc biệt nhắm vào các hồ sơ trình duyệt, quét các tệp từ Chrome, Brave và Firefox, cũng như dữ liệu trong khoá trên macOS.
Các gói đã được xác định — is-buffer-validator, yoojae-validator, event-handle-package, array-empty-validator, react-event-dependency và auth-validator — sử dụng phương pháp typosquatting, lừa đảo các nhà phát triển với những cái tên bị sai chính tả để họ cài đặt chúng.
> “Dữ liệu bị đánh cắp sau đó được xuất ra một địa chỉ C được mã hóa cứng.
2 server tại hxxp://172.86.84[.]38:1224/uploads, tuân theo chiến lược đã được Lazarus ghi chép rõ ràng về việc thu thập và truyền tải thông tin bị xâm phạm.”
>
> Kirill Boychenko, nhà phân tích tình báo đe dọa tại Socket Security
Bạn cũng có thể thích: Vụ hack Bybit là một ‘vấn đề của Triều Tiên’ chứ không phải vấn đề tiền mã hóa: chuyên gia
Lazarus đã từng sử dụng các cuộc tấn công chuỗi cung ứng thông qua npm, GitHub và PyPI để xâm nhập vào mạng, góp phần vào các vụ hack lớn như vụ cướp trao đổi Bybit trị giá 1,5 tỷ USD. Các chiến thuật của nhóm này phù hợp với các chiến dịch trước đó sử dụng các payload nhiều giai đoạn để duy trì quyền truy cập lâu dài, các chuyên gia an ninh mạng nhận định.
Vào cuối tháng Hai, các hacker Triều Tiên đã nhắm vào Bybit, một trong những sàn giao dịch tiền mã hóa lớn nhất, đã đánh cắp khoảng 1,46 tỷ USD tiền mã hóa trong một vụ cướp tinh vi. Cuộc tấn công được báo cáo là thực hiện bằng cách xâm phạm máy tính của một nhân viên tại Safe, nhà cung cấp công nghệ của Bybit. Chưa đầy hai tuần sau khi xảy ra sự cố, Giám đốc điều hành Bybit Ben Zhou cho biết rằng khoảng 20
% của số tiền bị đánh cắp đã trở nên không thể truy lại được, do việc sử dụng dịch vụ trộn của các hacker.
Đọc thêm: Báo cáo: Các cơ quan giám sát châu Âu đang điều tra dịch vụ Web3 của OKX liên quan đến vụ trộm Bybit
Bình luận (0)