Никога не изчерпваща иновациите в атаките си, Северна Корея стартира кампания, насочена към крипто разработчиците. Как функционира тя и как да се предпазим от нея?
Северна Корея визира крипто разработчиците
Хакването на криптовалути е, за съжаление, често срещана стратегия за Северна Корея. Държавата използва екипи от хакери, за да краде криптовалути, с цел да финансира ядрената си програма.
Тази есен изследователите от фирмата за киберсигурност Socket дават сигнал: хакерите в момента атакуват крипто разработчиците. Според тях Северна Корея е атакувала една от най-използваните софтуерни библиотеки в света: регистъра npm.
Според Socket, в регистъра, който се използва за инсталиране и споделяне на JavaScript софтуер, са открити над 300 пакета с злонамерен код.
След като бъдат инсталирани, тези пакети дискретно изпълняват зловреден софтуер, който позволява кражбата на пароли, данни от браузъра, както и ключове, свързани с портфейли за криптовалути. Според доклада, 5000 изтегляния на тези злонамерени пакети са били извършени, преди някои от тях да бъдат премахнати.
Внимавайте за промени в имената
За да не будят подозрения, хакерите използват известни имена, като променят една или две букви:
В областта на крипто набирането на персонал, Web3 китовете също са обект на атака.
Ето няколко примера за типографски варианти:
- ethers.js се имитира с типографски варианти като ethrs.js и ethres.js;
- web3.js става we3.js или wb3.js;
- систематични правописни грешки в truffle (truffel), ganache (ganacche) и foundry (foudry), както и пакети с тема hardhat, като hardhat-deploy-notifier и hardhat-deploy-notification.
- също и имитации на имена на марки, например metamask-api.
Фалшиви LinkedIn профили и мрежи за измами
Трябва да се подчертае, че престъпниците комбинират техниките. Понякога те използват фалшиви LinkedIn профили на работодатели, метод, за който вече сме ви разказвали.
Открихме, че злоумишлениците регистрират имейл адреси, които приличат на тези на работодатели, мениджъри по човешки ресурси или „технически“ профили, за да заблудят по-лесно разработчиците и търсещите работа.
Северна Корея действително е издигнала хакването на криптовалути до индустриално ниво, с високоразвити мрежи.
Целите включват разработчици на Web3, криптовалути и блокчейн, както и кандидати за технически позиции, които са били подходени от фалшиви работодатели, което води до компрометиране на няколко етапа и финансови загуби.
GitHub, собственикът на регистъра npm, потвърди, че премахва компрометираните пакети, когато се появят, но те са твърде много и се създават твърде редовно, за да може да ги проследи всички.
Следователно, препоръката е разработчиците да проявяват максимална предпазливост: зависимостите трябва да се сканират преди интегрирането им, а използването на автоматизирани инструменти за проверка за съжаление трябва да се превърне в стандарт.
