Lazarus Group, связанная с Северной Кореей, снова находится на охоте, и на этот раз она заразила новую партию пакетов JavaScript вредоносным ПО, который крадет цифровые активы.
В другом месте в отчете Касперского показано, что группа киберпреступников шантажировала на YouTubers, включая вредоносные программы для криптовода в их описания видео.
Lazarus нацелена на экосистему JavaScript
Lazarus обновила свои атаки на сектор цифровых активов и в настоящее время нацелена на экосистему JavaScript, сообщает платформа безопасности кода.
В недавнем отчете Socket сообщила, что пресловутая группа Hacker развернула шесть новых вредоносных пакетов, нацеленных на экосистему менеджера по упаковке узлов (NPM); NPM используется для установки и управления пакетами JavaScript. Улбпрограммное обеспечение предназначено для кражи данных о цифровых активах и других учетных данных, а также для развертывания бэкдора для будущих эксплойтов.
Ничего не подозревающие жертвы загрузили шесть пакетов 330 раз к прошлой неделе. Lazarus разработал их для имитации широко доверенных библиотек, которые разработчики использовали годами, согласуясь с тактикой опечатки хакерской группы. Группа даже поддерживает репозитории GitHub для пяти из шести злонамеренных пакетов, что повышает их воспринимаемую легитимность; С тех пор сокет обратился к GitHub об их удалении.
Команда сокетов признала, что практически невозможно приписать вредоносное ПО Лазару, «поскольку абсолютная атрибуция по своей сути сложно». Тем не менее, они несут отличительные черты тактики и методов группы. Это включает в себя использование аналогичных методов запутывания, функциональности сценария, механизмов команд и управления и методов кражи данных для других прошлых атак Лазаря.
Безопасная фирма показала, что после установки вредоносное ПО проходит через профили браузеров на Chrome, Firefox и Brave, а также архивы ключей на MacOS, для извлечения конфиденциальных файлов, таких как данные входа в систему. Он также извлекает кошельки для цифровых активов, а приложения на основе Solana на основе Solana особенно уязвимы.
Эта тактика не нова для Лазаря. Группа неоднократно использовала его для проникновения как в личных, так и корпоративных сетях и протирать свои цифровые активы. В предыдущих атаках группа разместила вакансии на работе в LinkedIn, заманивая ничего не подозревающих заявителей, чтобы нажать на злонамеренные ссылки.
В то время как северокорейская группа участвовала во многих громких ограждениях, ее последняя-самая большая и самая смелая. Lazarus был приписан взлому Popular Exchange Bybit, самый большой в мире цифровых активов в размере 1,4 миллиарда долларов. С тех пор кибербезопасность обнаружила, что маршрут входа группы проходил вредоносное ПО, посаженное в онлайн -коде Safe. Safe – это поставщик кошельки для цифровых активов, который Bybit использовал для обеспечения активов пользователей.
Cryptojackers шантажируют YouTubers
В отдельном отчете фирма кибербезопасности Касперского показала, что киберпреступники шантажируют YouTubers для повышения экспозиции.
Преступники стоит за вредоносным программным обеспечением, которое замаскируется под инструмент для обхода гео-ограничений и других локальных блоков для доступа к Интернету. Такие инструменты становятся все более популярными, так как некоторые правительства, такие как российские и Китайские, наложили интернет -блоки в некоторых регионах. За последние шесть месяцев Касперский обнаружил более 2,4 миллиона водителей, связанных с обходом инструментов.
Эти драйверы стали горячей точкой для вредоносных программ. Обычно они требуют, чтобы пользователи отключали решения своих ПК, позволяя злоумышленникам легко устанавливать незамеченные вредоносные программы. Популярные векторы атаки включали в себя программное обеспечение для криптохизации, которое заводит цифровые активы без знаний пользователя, а также инструменты удаленного доступа (RATS) и другие популярные корня учетных данных.
Касперский обнаружил, что эти злоумышленники нацелены на YouTubers, чтобы достичь более широкой целевой аудитории. В одном случае они нацелены на YouTuber с более чем 60 000 подписчиков, чьи видео были сосредоточены на обходе интернет -блоков. Злоумышленники сообщили о своих видео о предполагаемом нарушении авторских прав, прежде чем обратиться к нему и потребовать, чтобы он включил ссылку на их ресурсы, чтобы они могли отозвать заявление об авторском праве.
YouTuber подчинился, не зная, что ссылка была на вредоносном веб -сайте, содержащем вредоносные программы криптокола и другие кражи.
Еще один YouTuber с 340 000 подписчиков также был аналогичным образом, как и популярный канал телеграммы.
Удолошение криптокола основано на XMRIG, шахтере с открытым исходным кодом, который преступники уже давно использовали для незаконного добычи цифровых активов на ПК жертв. Он может добывать Ether, Ethereum Classic, Monero и другие меньшие цифровые активы. Вредоносное ПО может включать и выключать, чтобы избежать обнаружения и управлять дистанционным управлением.
В то время как криптокол не так широко распространен, как когда -то, некоторые преступники все еще нацелены на миллионы устройств. Две недели назад в отчете Cyberark показано, что один штамм CryptoCking заразил более 750 000 уникальных адресов цифровых активов. Другой недавний отчет показал, что криптокадки даже нацелены на федеральные агентства, проникнув в USAID -машины, чтобы добывать «крипто» прошлой осенью.
Watch: Основы кибербезопасности в современную цифровую эпоху с AI & Web3
https://www.youtube.com/watch?v=tmc4bnldsnq title = “YouTube Video Player” frameborder = “0” Alling = “Accelerometer; Autoplay; буферный обход-write; incrypted-media; gyroscope; picture-in-cicture; web-share” referrerpolicy = “strict-Origin-When-Cross-Origin” AllifullScreen = “>”
Вознаграждение до $580 за регистрацию на Bybit!
