Az Észak-koreai hackerek ezúttal a kriptó fejlesztőket vették célba

February 14, 2025 Yanac Ellátási lánc, Észak-Korea, KIMSUKY, Marstech1

Észak-Korea újabb kibertámadási kampányt indított, amely a NPM csomagkezelő rendszert, az Exodus, valamint Atomic kriptovaluta-tárcák tulajdonosait vette célba. A támadások pénzügyi haszonszerzésre irányulnak, és egy új, Marstech1 nevű JavaScript-alapú kártevőimplantátumot alkalmaznak, amely GitHub tárolókban és kriptodev fejlesztők által használt NPM csomagokban rejtettek el. A SecurityScorecard kutatása eddig 233 áldozatot azonosított, akik a fertőzött csomagok telepítésével váltak célponttá.

A Marstech1 implantátum elsősorban kriptotárcák elleni támadásra specializálódott Windows, macOS és Linux rendszereken. A kártevő átvizsgálja a fertőzött gépeket, adatokat és metaadatokat szerez a tárcákból, majd ezeket az adatokat továbbítja egy irányító és vezérlő (C2) szerver felé, amely szokatlan módon a 3000-es portot használja. A támadók különböző kódolási technikákat alkalmaznak, például Base64 és Base85 kódolást, XOR titkosítást, valamint vezérlési áramlás laposítást, hogy elkerüljék a kártevő észlelését.

A Lazarus csoport, amely Észak-Korea állami hátterű kiberbűnözőihez köthető, a GitHubon „SuccessFriend” nevű fiókot használta a kártevő kódjának terjesztésére. A fiók 2024 júliusa óta aktív volt, és 2024 novemberében kezdett el kifejezetten rosszindulatú kódokat feltölteni. A kártékony kód beágyazása a szoftver-ellátási láncot érintő fenyegetést jelent, mivel a fertőzött csomagok könnyen bekerülhetnek különféle alkalmazásokba, ezzel újabb felhasználókat téve ki veszélynek. A kampányt először 2024 decemberében észlelték, és a támadásokhoz egy, a Stark Industries által hosztolt szervert használtak, amelyet korábban különféle kiberbűnöző csoportok is alkalmaztak.

A támadások elleni védekezés érdekében a szakértők javasolják a szoftver-ellátási láncok folyamatos monitorozását, valamint fejlett fenyegetésfelderítési megoldások integrálását. Emellett kiemelték az NPM csomagok és a GitHub tárolók alapos ellenőrzésének fontosságát. A kampány egyértelműen mutatja, hogy Észak-Korea folyamatosan fejleszti eszköztárát a pénzügyi haszonszerzés érdekében, különösen a Web3 ökoszisztémában tevékenykedő fejlesztőket célozva meg.

(forrás)