Лазарус был замечен в заражении открытых программных компонентов с помощью инфостилеров.
Кампания под кодовым названием Phantom Circuit нацелена в основном на европейских разработчиков программного обеспечения.
Обнаружено несколько зараженных вредоносным ПО репозиториев.
Знаменитая группа хакеров из Северной Кореи, известная как Лазарус, активно атакует разработчиков программного обеспечения, в особенности тех, кто занят в индустрии Web3. Они используют инфостилеры — вредоносное ПО, предназначенное для кражи учетных данных, токенов аутентификации и других ценных данных.
Специалисты по кибербезопасности из SecurityScorecard представили отчет, охватывающий данную кампанию, в которой были задействованы атака на цепочку поставок ПО и отравление открытых исходников.
Группа Лазарус, финансируемая Северной Кореей, была замечена в модификации различных инструментов с открытым исходным кодом. Они заражают их вредоносным кодом, а затем возвращают в репозитории и платформы, такие как Gitlab.
Целевые Web3-разработчики
Разработчики могут случайно использовать эти зараженные инструменты и, сами того не ведая, устанавливать вредоносное ПО. Операция получила наименование Phantom Circuit. По данным исследования, жертвами стали более 1500 человек, большинство из которых проживают в Европе, а также в Индии и Бразилии.
Измененные репозитории включают такие платформы, как Codementor, CoinProperty, Web3 E-Store, менеджер паролей на Python, а также другие приложения, связанные с криптовалютами, пакеты аутентификации и технологии Web3.
Исследователи не уточнили, использовала ли группа Лазарус известные инфостилеры или же разрабатывала новые с нуля. Известно, что группа активно применяет широкий спектр инструментов для атаки.
Часто Лазарус прицельно атакует криптовалютные компании. Некоторые исследователи утверждают, что страна использует кражу криптовалют для финансирования своего государственного аппарата и программы вооружений. Также группа известна поддельной кампанией по поиску работы, называемой Operation DreamJob, в которой она обманывает разработчиков программного обеспечения Web3 с помощью подложных предложений о работе.
На стадии интервью злоумышленники уговаривают кандидатов загрузить и запустить инфостилеры, захватывая их токены и токены их работодателей. В одном из таких случаев Лазарус удалось украсть примерно 600 миллионов долларов.
Источник: TechRadar
