Никогда не испытывая недостатка в инновациях в своих атаках, Северная Корея запустила кампанию, нацеленную на крипторазработчиков. Как она работает и как от нее защититься?
Северная Корея нацелилась на разработчиков криптовалют
Взлом криптовалют — к сожалению, обычная стратегия для Северной Кореи. Государство использует команды хакеров для кражи криптовалют, в частности, с целью финансирования своей программы по созданию ядерного оружия.
Этой осенью исследователи из компании Socket, занимающейся кибербезопасностью, забили тревогу: хакеры сейчас нацелены на разработчиков криптовалют. По их мнению, Северная Корея нацелилась на одну из самых популярных в мире библиотек программного обеспечения: реестр npm.
По данным Socket, в реестре, который используется для установки и обмена программным обеспечением JavaScript, было обнаружено более 300 пакетов вредоносного кода.
После установки эти пакеты незаметно запускают вредоносное ПО, которое позволяет похищать пароли, данные браузера, а также ключи, связанные с кошельками криптовалют. Согласно отчету, до удаления некоторых из них было зарегистрировано 5000 загрузок этих вредоносных пакетов.
Внимание к изменениям в названиях
Чтобы не вызывать подозрений, хакеры используют известные названия, меняя одну или две буквы:
В сфере криптовалютного рекрутинга также становятся мишенью наборы Web3.
Вот несколько примеров типографских вариаций:
- ethers.js имитируется типографскими вариациями, такими как ethrs.js и ethres.js;
- web3.js становится we3.js или wb3.js;
- систематические орфографические ошибки в truffle (truffel), ganache (ganacche) и foundry (foudry), а также пакеты с темой hardhat, такие как hardhat-deploy-notifier и hardhat-deploy-notification.
- также подделки названий брендов, например metamask-api.
Поддельные учетные записи LinkedIn и мошеннические сети
Следует также отметить, что злоумышленники комбинируют различные методы. Иногда они используют поддельные учетные записи LinkedIn рекрутеров, о чем мы уже рассказывали ранее.
Мы обнаружили, что злоумышленники регистрировали адреса электронной почты, похожие на адреса рекрутеров, менеджеров по персоналу или «технарей», чтобы лучше обманывать разработчиков и соискателей.
Северная Корея действительно подняла взлом криптовалют на промышленный уровень, создав высокоразвитые сети.
Целями являются разработчики Web3, криптовалют и блокчейнов, а также кандидаты на технические должности, к которым обращаются поддельные рекрутеры, что приводит к многоэтапным взломам и финансовым потерям.
GitHub, владелец реестра npm, подтвердил, что удаляет скомпрометированные пакеты по мере их появления, но их слишком много и они создаются слишком регулярно, чтобы он мог отслеживать их все.
Поэтому разработчикам рекомендуется проявлять максимальную осторожность: необходимо сканировать зависимости перед их интеграцией, и, к сожалению, использование автоматизированных инструментов проверки должно стать нормой.
