Lazarus Group: Nova Prijetnja za Razvijače Softvera i Web3
Lazarus Group, poznat kao zloglasni prijetnja koju sponzorira sjevernokorejska država, pokrenuo je kampanju usmjerenu na razvijače softvera i Web3. Prema istraživačima u području cyber sigurnosti iz STRIKE-a, koji rade za SecurityScorecard, primijetili su da se “nevidljivi” malware ugrađuje u GitHub repozitorije i NPM pakete. Ovaj problem je posebno zabrinjavajući jer nesusretljivi razvijači preuzimaju i integriraju ovu zlašta u svoje projekte.
Načini Distribucije Malware-a
Istraživači su otkrili da GitHub profil SuccessFriend, povezan s Lazarusom, injectira JavaScript implantate u repozitorije. Ova zlonamjerna skripta vješto se miješa s legitimnim kodom, a dodatno prikriva svoje stvarne namjere tako što je obavijena benignim kodom. Štoviše, STRIKE je istaknuo da se malware distribuira unutar NPM paketa, koji su široko korišteni od strane razvijača kriptovaluta i Web3 projekata.
Kampanja Marstech Mayhem
Kampanja je nazvana Marstech Mayhem jer se malware koji se koristi u ovoj operaciji zove Marstech1. Kada se implantat aktivira na žrtvinom endpointu, odmah skenira sustav u potrazi za MetaMask, Exodus i Atomic novčanicima. U tom trenutku, malware modificira datoteke konfiguracije preglednika kako bi umetnuo stealthy payloads koji mogu presresti transakcije. Jasno je da je Lazarus još uvijek zadužen za krađu kriptovaluta u ime sjevernokorejske vlade.
Posljedice i Širenje Malware-a
Prema ranijim izvještajima, sjevernokorejska vlada koristi ukradene kriptovalute za financiranje svoje državne aparature, ali i za razvoj svog nuklearnog programa. Do sada je STRIKE potvrdio najmanje 233 žrtve širom Sjedinjenih Američkih Država, Evrope i Azije.
Tehnička Sofisticiranost Marstech1
Ryan Sherstobitoff, potpredsjednik za istraživanje i obavještajnu sigurnost u SecurityScorecard, naglasio je da Marstech1 implant dolazi s “slojevitim tehnikama obfuscacije”. Ove tehnike uključuju kontrolno strujanje, dinamičko preimenovanje varijabli u JavaScriptu i višestepeno XOR dekriptiranje u Pythonu. Sherstobitoff je upozorio organizacije i razvijače da poduzmu proaktivne sigurnosne mjere, kontinuirano prate aktivnosti u svojoj opskrbnoj mreži te integriraju napredna rješenja za obavještajnu sigurnost kako bi smanjili rizik od sofisticiranih napadača poput Lazarusa.
Zaključak
Kako se cyber prijetnje nastavljaju razvijati, važno je da svi u industriji budu svjesni i informirani o prijetnjama koje donosi Lazarus Group. Razvijači softvera i Web3 projekti moraju podizati svoje sigurnosne mjere na višu razinu kako bi zaštitili svoje projekte i osigurali sredstva svojih korisnika. Ulaganje u sigurnost nikad nije bilo važnije!
