Sempre innovativa nei suoi attacchi, la Corea del Nord ha lanciato una campagna che prende di mira gli sviluppatori di criptovalute. Come funziona e come proteggersi?
La Corea del Nord prende di mira gli sviluppatori di criptovalute
Gli attacchi hacker alle criptovalute sono una strategia purtroppo comune per la Corea del Nord. Lo Stato utilizza infatti squadre di hacker per rubare criptovalute con l’obiettivo, in particolare, di finanziare il proprio programma di armamento nucleare.
Questo autunno, i ricercatori della società di sicurezza informatica Socket hanno lanciato l’allarme: gli hacker stanno prendendo di mira gli sviluppatori di criptovalute. Secondo loro, la Corea del Nord avrebbe preso di mira una delle librerie software più utilizzate al mondo: il registro npm.
Secondo Socket, sul registro, utilizzato per installare e condividere software JavaScript, sono stati scoperti oltre 300 pacchetti di codice dannoso.
Una volta installati, questi pacchetti eseguono silenziosamente un malware che consente di rubare password, dati del browser e chiavi relative ai portafogli di criptovalute. Sempre secondo il rapporto, prima che alcuni di essi venissero rimossi, sarebbero stati effettuati 5000 download di questi pacchetti dannosi.
Attenzione alle modifiche dei nomi
Per non destare sospetti, gli hacker utilizzano nomi noti, cambiando una o due lettere:
Nel campo del reclutamento nel settore delle criptovalute, anche i kit Web3 sono presi di mira.
Ecco alcuni esempi di varianti tipografiche:
- ethers.js è imitato da varianti tipografiche come ethrs.js e ethres.js;
- web3.js diventa we3.js o wb3.js;
- errori ortografici sistematici su truffle (truffel), ganache (ganacche) e foundry (foudry), nonché pacchetti a tema hardhat come hardhat-deploy-notifier e hardhat-deploy-notification.
- anche imitazioni di nomi di marchi, ad esempio metamask-api.
Falsi account LinkedIn e reti di truffa
Va anche sottolineato che i malintenzionati combinano diverse tecniche. A volte utilizzano falsi account LinkedIn di reclutatori, un metodo di cui vi abbiamo già parlato.
Abbiamo scoperto che i malintenzionati registravano indirizzi e-mail progettati per assomigliare a quelli di reclutatori, responsabili delle risorse umane o profili “tech”, al fine di ingannare meglio gli sviluppatori e le persone in cerca di lavoro.
La Corea del Nord ha infatti portato l’hacking delle criptovalute a un livello industriale, con reti molto sviluppate.
Gli obiettivi includono sviluppatori Web3, di criptovalute e blockchain, nonché candidati a posizioni tecniche contattati da falsi reclutatori, il che porta a compromissioni in più fasi e perdite finanziarie.
GitHub, proprietario del registro npm, ha confermato di rimuovere i pacchetti compromessi man mano che compaiono, ma questi sono troppo numerosi e creati con troppa regolarità per poterli tracciare tutti.
La raccomandazione è quindi quella di prestare la massima attenzione: è necessario scansionare le dipendenze prima della loro integrazione e l’uso di strumenti di verifica automatizzati deve purtroppo diventare la norma.
