Noord-Korea, dat nooit tekortschiet in innovatie bij zijn aanvallen, heeft een campagne gelanceerd die zich richt op crypto-ontwikkelaars. Hoe werkt deze campagne en hoe kun je je ertegen beschermen?
Noord-Korea richt zich op crypto-ontwikkelaars
Hacks op cryptovaluta’s zijn helaas een veelgebruikte strategie van Noord-Korea. De staat maakt namelijk gebruik van teams van hackers om cryptovaluta’s te stelen, met name om zijn kernwapenprogramma te financieren.
Dit najaar sloegen onderzoekers van het cyberbeveiligingsbedrijf Socket alarm: hackers richten zich momenteel op crypto-ontwikkelaars. Volgens hen zou Noord-Korea zich hebben gericht op een van de meest gebruikte softwarebibliotheken ter wereld: het npm-register.
Volgens Socket zijn er meer dan 300 pakketten met kwaadaardige code ontdekt in het register, dat wordt gebruikt om JavaScript-software te installeren en te delen.
Eenmaal geïnstalleerd, voeren deze pakketten onopvallend malware uit, waarmee wachtwoorden, browsergegevens en sleutels voor cryptovaluta-wallets kunnen worden gestolen. Volgens het rapport zouden er 5000 downloads van deze kwaadaardige pakketten hebben plaatsgevonden voordat sommige ervan werden verwijderd.
Let op naamswijzigingen
Om argwaan te voorkomen, gebruiken hackers bekende namen, waarbij ze een of twee letters veranderen:
Op het gebied van crypto-werving zijn ook Web3-kits het doelwit.
Hier volgen enkele voorbeelden van typografische varianten:
- ethers.js wordt nagebootst door typografische varianten zoals ethrs.js en ethres.js;
- web3.js wordt we3.js of wb3.js;
- systematische spelfouten in truffle (truffel), ganache (ganacche) en foundry (foudry), evenals hardhat-themapakketten zoals hardhat-deploy-notifier en hardhat-deploy-notification.
- ook imitaties van merknamen, bijvoorbeeld metamask-api.
Valse LinkedIn-accounts en oplichtingsnetwerken
Er moet ook worden benadrukt dat criminelen verschillende technieken combineren. Soms maken ze gebruik van valse LinkedIn-accounts van recruiters, een methode waarover we u al eerder hebben verteld.
We hebben ontdekt dat kwaadwillende actoren e-mailadressen registreerden die waren ontworpen om te lijken op die van recruiters, HR-managers of ‘tech’-profielen, om ontwikkelaars en werkzoekenden beter te kunnen misleiden.
Noord-Korea heeft het hacken van cryptovaluta’s inderdaad tot een industrieel niveau getild, met zeer ontwikkelde netwerken.
De doelwitten zijn onder meer ontwikkelaars van Web3, cryptovaluta en blockchain, evenals kandidaten voor technische functies die worden benaderd door valse recruiters, wat leidt tot compromittering in meerdere stappen en financiële verliezen.
GitHub, de eigenaar van het npm-register, heeft bevestigd dat het gecompromitteerde pakketten verwijdert zodra ze verschijnen, maar deze zijn te talrijk en worden te regelmatig aangemaakt om ze allemaal te kunnen opsporen.
Het advies is dan ook dat ontwikkelaars uiterst voorzichtig zijn: afhankelijkheden moeten worden gescand voordat ze worden geïntegreerd en het gebruik van geautomatiseerde verificatietools moet helaas de norm worden.
