133
朝鲜在攻击手段上从未缺乏创新,如今又发起了一场针对加密货币开发者的攻击行动。其运作方式如何?如何防范?
朝鲜瞄准加密货币开发者
加密货币黑客攻击是朝鲜惯用的策略。该国利用黑客团队窃取加密货币,主要用于资助其核武器计划。
今年秋天,网络安全公司 Socket 的研究人员发出警告:黑客目前正瞄准加密货币开发者。据他们称,朝鲜已将全球使用最广泛的软件库之一——npm 注册表——作为攻击目标。
据Socket称,在用于安装和共享JavaScript软件的注册表中发现了300多个恶意代码包。
这些代码包一旦安装,就会悄悄运行恶意软件,窃取密码、浏览器数据以及与加密货币钱包相关的密钥。报告称,在部分恶意软件包被删除之前,已有5000次下载记录。
警惕名称变体
为掩盖嫌疑,黑客利用知名名称,仅更改一两个字母:
在加密货币招聘领域,Web3工具包也成为攻击目标。
以下是一些字体变体示例:
- ethers.js 被模仿成 ethrs.js 和 ethres.js 等字体变体;
- web3.js 被改成 we3.js 或 wb3.js;
- truffle(truffel)、ganache(ganacche)和 foundry(foudry)被系统性地拼错,还有 hardhat 主题的软件包,比如 hardhat-deploy-notifier 和 hardhat-deploy-notification。
- 还有品牌名称的仿冒,例如 metamask-api。
虚假 LinkedIn 账户和诈骗网络
还必须强调的是,犯罪分子会结合多种技术手段。他们有时会使用虚假的 LinkedIn 招聘账户,我们之前已经谈过这种方法。
我们发现,犯罪分子注册了与招聘人员、人力资源经理或“技术”职位的电子邮件地址相似的电子邮件地址,以便更好地欺骗开发人员和求职者。
事实上,朝鲜已将加密货币黑客攻击提升到工业化水平,建立了高度发达的网络体系。
攻击目标包括 Web3、加密货币和区块链领域的开发人员,以及被虚假招聘人员接触的技术职位应聘者,从而导致多阶段的安全漏洞和财务损失。
npm注册表的所有者GitHub已确认,他们会及时删除出现的受损软件包,但这些软件包数量过多且创建频率过高,无法全部追踪。
因此,开发人员必须保持高度警惕:在集成依赖项之前必须进行扫描,并且使用自动化验证工具已成为一种必要措施。
