Η διαβόητη ομάδα χάκερ της Βόρειας Κορέας, γνωστή ως Lazarus, συνεχίζει να διεισδύει στο οικοσύστημα του npm (Node Package Manager), αναπτύσσοντας έξι νέα κακόβουλα πακέτα με στόχο την παραβίαση περιβαλλόντων ανάπτυξης, την κλοπή διαπιστευτηρίων, την εξαγωγή δεδομένων κρυπτονομισμάτων και την εγκατάσταση backdoors. Η ομάδα έρευνας της Socket ανακάλυψε αυτήν την εκστρατεία, επισημαίνοντας την ενσωμάτωση του κακόβουλου λογισμικού BeaverTail σε φαινομενικά αθώα πακέτα, όπως τα is-buffer-validator, yoojae-validator, event-handle-package, array-empty-validator, react-event-dependency και auth-validator.
Αυτά τα κακόβουλα πακέτα, τα οποία έχουν ληφθεί πάνω από 330 φορές, μιμούνται τα ονόματα ευρέως χρησιμοποιούμενων βιβλιοθηκών, εφαρμόζοντας την τακτική του typosquatting για να παραπλανήσουν τους προγραμματιστές. Επιπλέον, οι επιτιθέμενοι δημιούργησαν και διατήρησαν αποθετήρια στο GitHub για πέντε από αυτά τα πακέτα, προσδίδοντας μια ψευδαίσθηση νομιμότητας και αυξάνοντας την πιθανότητα ενσωμάτωσης του κακόβουλου κώδικα σε περιβάλλοντα ανάπτυξης.
Τεχνική Ανάλυση των Κακόβουλων Πακέτων
Ο κώδικας που ενσωματώνεται στα κακόβουλα πακέτα παρουσιάζει τεχνικές απόκρυψης, όπως αυτοεκτελούμενες συναρτήσεις, δυναμικούς κατασκευαστές συναρτήσεων και μετατόπιση πινάκων, για να αποκρύψει την πραγματική του λειτουργία. Παρά αυτά τα επίπεδα απόκρυψης, οι στόχοι του κακόβουλου λογισμικού ευθυγραμμίζονται με προηγουμένως καταγεγραμμένες επιχειρήσεις της ομάδας Lazarus, οι οποίες έχουν αξιοποιήσει πολυ-σταδιακή παράδοση payloads και μηχανισμούς διατήρησης πρόσβασης για μακροχρόνιο έλεγχο των παραβιασμένων συστημάτων.
Ο κώδικας έχει σχεδιαστεί για να συλλέγει λεπτομέρειες του συστήματος, όπως το όνομα κεντρικού υπολογιστή, το λειτουργικό σύστημα και τους καταλόγους συστήματος. Εξετάζει συστηματικά τα προφίλ των προγραμμάτων περιήγησης για να εντοπίσει και να εξαγάγει ευαίσθητα αρχεία, όπως τα “Login Data” από τα Chrome, Brave και Firefox, καθώς και αρχεία keychain σε macOS. Σημειωτέον, το κακόβουλο λογισμικό στοχεύει επίσης πορτοφόλια κρυπτονομισμάτων, εξάγοντας συγκεκριμένα το “id.json” από το Solana και το “exodus.wallet” από το Exodus. Τα κλεμμένα δεδομένα εξάγονται σε έναν προκαθορισμένο διακομιστή C2 (Command and Control), ακολουθώντας τη γνωστή στρατηγική της ομάδας Lazarus για συλλογή και μετάδοση παραβιασμένων πληροφοριών.
Συστάσεις για Προγραμματιστές και Οργανισμούς
Για να μετριαστούν οι κίνδυνοι από τέτοιες επιθέσεις εφοδιαστικής αλυσίδας, προτείνονται τα εξής μέτρα:
- Αυτοματοποιημένος έλεγχος εξαρτήσεων και ανασκοπήσεις κώδικα: Η υιοθέτηση εργαλείων που εντοπίζουν ανωμαλίες σε πακέτα τρίτων, ιδιαίτερα εκείνα με χαμηλό αριθμό λήψεων ή από μη επαληθευμένες πηγές.
- Συνεχής παρακολούθηση ασυνήθιστων αλλαγών εξαρτήσεων: Η ανίχνευση κακόβουλων ενημερώσεων μπορεί να αποκαλύψει κακόβουλες δραστηριότητες.
- Αποκλεισμός εξερχόμενων συνδέσεων σε γνωστούς διακομιστές C2: Αυτό αποτρέπει την εξαγωγή δεδομένων.
- Εκτέλεση μη αξιόπιστου κώδικα σε ελεγχόμενα περιβάλλοντα (sandboxing): Αυτό επιτρέπει την ανίχνευση ύποπτων δραστηριοτήτων στο σύστημα αρχείων ή στο δίκτυο.
- Εκπαίδευση ομάδων ανάπτυξης σχετικά με τις κοινές τακτικές typosquatting: Η ευαισθητοποίηση προγραμματιστών ενισχύει την επαγρύπνηση και προωθεί την ορθή αξιολόγηση πριν από την εγκατάσταση νέων πακέτων.
Παρά τις εκτεταμένες τεχνικές απόκρυψης, η στατική και συμπεριφορική ανάλυση της Socket εντόπισε αποτελεσματικά όλα τα κακόβουλα πακέτα. Η ενσωμάτωση εργαλείων ασφαλείας στις υπάρχουσες ροές εργασίας ανάπτυξης μπορεί να μειώσει σημαντικά τον κίνδυνο επιθέσεων στην εφοδιαστική αλυσίδα λογισμικού.
Συμπέρασμα
Η συνεχής δραστηριότητα της ομάδας Lazarus στον χώρο του npm υπογραμμίζει την ανάγκη για αυξημένη επαγρύπνηση και ενισχυμένα μέτρα ασφαλείας από
Πηγές: BleepingComputer, SocketDev
