Severní Korea, která nikdy nepostrádá inovace ve svých útocích, zahájila kampaň zaměřenou na vývojáře kryptoměn. Jak funguje a jak se před ní chránit?
Severní Korea se zaměřuje na vývojáře kryptoměn
Hackování kryptoměn je bohužel běžnou strategií Severní Koreje. Stát využívá týmy hackerů k krádežím kryptoměn, zejména za účelem financování svého jaderného zbrojního programu.
Na podzim tohoto roku vydali výzkumníci z kyberbezpečnostní firmy Socket varování: hackeři se v současné době zaměřují na vývojáře kryptoměn. Podle nich se Severní Korea zaměřila na jednu z nejpoužívanějších softwarových knihoven na světě: registr npm.
Podle společnosti Socket bylo v registru, který se používá k instalaci a sdílení softwaru JavaScript, objeveno více než 300 balíčků škodlivého kódu.
Po instalaci tyto balíčky diskrétně spouštějí malware, který umožňuje krást hesla, data z prohlížeče a klíče související s peněženkami kryptoměn. Podle zprávy bylo těchto škodlivých balíčků staženo 5000, než byly některé z nich odstraněny.
Pozor na změny názvů
Aby vzbudili důvěru, používají hackeři známé názvy a mění pouze jedno nebo dvě písmena:
V oblasti náboru pracovníků v oblasti kryptoměn jsou terčem útoku také sady Web3.
Zde je několik příkladů typografických variant:
- ethers.js je napodobován typografickými variantami jako ethrs.js a ethres.js;
- web3.js se mění na we3.js nebo wb3.js;
- systematické pravopisné chyby v truffle (truffel), ganache (ganacche) a foundry (foudry), stejně jako balíčky s tématem hardhat, jako jsou hardhat-deploy-notifier a hardhat-deploy-notification.
- také napodobeniny názvů značek, například metamask-api.
Falešné účty na LinkedIn a podvodné sítě
Je také třeba zdůraznit, že pachatelé kombinují různé techniky. Někdy využívají falešné účty náborářů na LinkedIn, což je metoda, o které jsme již hovořili.
Zjistili jsme, že zločinci registrují e-mailové adresy, které jsou navrženy tak, aby se podobaly adresám náborářů, personalistů nebo „technických“ profilů, aby lépe oklamali vývojáře a uchazeče o zaměstnání.
Severní Korea skutečně povýšila hackování kryptoměn na průmyslovou úroveň s velmi rozvinutými sítěmi.
Mezi cíle patří vývojáři Web3, kryptoměn a blockchainu, stejně jako uchazeči o technické pozice, které oslovují falešní náboráři, což vede k vícefázovým kompromisům a finančním ztrátám.
GitHub, vlastník registru npm, potvrdil, že kompromitované balíčky odstraňuje, jakmile se objeví, ale je jich příliš mnoho a vznikají příliš pravidelně, než aby je mohl všechny sledovat.
Pro vývojáře proto platí zásada maximální opatrnosti: je nutné skenovat závislosti před jejich integrací a používání automatizovaných ověřovacích nástrojů se bohužel musí stát normou.
