Korea Północna, która nigdy nie brakuje pomysłów na nowe ataki, rozpoczęła kampanię wymierzoną w twórców kryptowalut. Jak ona działa i jak się przed nią chronić?
Korea Północna atakuje twórców kryptowalut
Ataki hakerskie na kryptowaluty są niestety powszechną strategią Korei Północnej. Państwo to wykorzystuje zespoły hakerów do kradzieży kryptowalut, aby sfinansować swój program zbrojeń nuklearnych.
Tej jesieni badacze z firmy Socket zajmującej się cyberbezpieczeństwem ostrzegają: hakerzy atakują obecnie twórców kryptowalut. Według nich Korea Północna zaatakowała jedną z najczęściej używanych bibliotek oprogramowania na świecie: rejestr npm.
Według firmy Socket w rejestrze, który służy do instalowania i udostępniania oprogramowania JavaScript, wykryto ponad 300 pakietów złośliwego kodu.
Po zainstalowaniu pakiety te dyskretnie uruchamiają złośliwe oprogramowanie, które umożliwia kradzież haseł, danych przeglądarki oraz kluczy powiązanych z portfelami kryptowalut. Zgodnie z raportem, przed usunięciem niektórych z nich miało miejsce 5000 pobrań tych złośliwych pakietów.
Uwaga na zmiany nazw
Aby wzbudzić mniej podejrzeń, hakerzy używają znanych nazw, zmieniając jedną lub dwie litery:
W dziedzinie rekrutacji kryptowalutowej celem ataków są również zestawy Web3.
Oto kilka przykładów wariantów typograficznych:
- ethers.js jest imitowany przez warianty typograficzne, takie jak ethrs.js i ethres.js;
- web3.js staje się we3.js lub wb3.js;
- systematyczne błędy ortograficzne w truffle (truffel), ganache (ganacche) i foundry (foudry), a także pakiety o tematyce hardhat, takie jak hardhat-deploy-notifier i hardhat-deploy-notification.
- również imitacje nazw marek, na przykład metamask-api.
Fałszywe konta LinkedIn i sieci oszustw
Należy również podkreślić, że przestępcy łączą różne techniki. Czasami korzystają z fałszywych kont LinkedIn rekruterów, o czym już wcześniej wspominaliśmy.
Odkryliśmy, że złośliwi aktorzy rejestrują adresy e-mail zaprojektowane tak, aby przypominały adresy rekruterów, menedżerów HR lub profili „tech”, aby lepiej oszukać programistów i osoby poszukujące pracy.
Korea Północna faktycznie podniosła poziom hakowania kryptowalut do poziomu przemysłowego, dysponując bardzo rozwiniętymi sieciami.
Cele obejmują programistów Web3, kryptowalut i blockchain, a także kandydatów na stanowiska techniczne, do których zwracają się fałszywi rekruterzy, co prowadzi do wieloetapowych naruszeń bezpieczeństwa i strat finansowych.
GitHub, właściciel rejestru npm, potwierdził, że usuwa zainfekowane pakiety w miarę ich pojawiania się, ale jest ich zbyt wiele i powstają zbyt regularnie, aby można było je wszystkie śledzić.
Dlatego też programiści powinni zachować najwyższą ostrożność: przed integracją należy skanować zależności, a stosowanie zautomatyzowanych narzędzi weryfikacyjnych musi niestety stać się normą.
