详细内容或原文请订阅后点击阅览
朝鲜通过NPM供应链攻击目标加密开发人员
从金的亲戚那里获得了又一次的现金抢购,以及Microsoftnorth韩国的英特尔更新已改变了贴切:其最新的广告系列目标是NPM注册表和Exodus和Atomic Cryptocurrency钱包的所有者。
来源:The Register _恶意软件朝鲜已经改变了大头钉:它的最新运动针对NPM注册表和出埃及记和原子加密货币钱包的所有者。
进行一系列以财务动机的攻击不是这里的消息 - 朝鲜的主要目标长期以来一直是从敌人经济体中汲取金钱。新的发现是一种JavaScript植入物,该植入物将其自身隐藏在GitHub存储库中,而Node Package Manager(NPM)软件包通常使用Crypto Devs使用。
根据SecurityScorecard的研究,在安装新的Marstech1植入物后,到目前为止,已经确认了233名个人受害者,其中许多功能都证明了朝鲜不断发展的Tradecraft。当被问及有关受害者的更多细节时,供应商说没有。
SecurityScoreCard表示,鉴于Web3开发人员对NPM和Marstech1使用静态和动态分析逃避检测的能力的依赖,该活动对加密货币开发人员构成了真正的危险。 存在供应链风险,因为可以下载并不知不觉地将损坏的软件包引入应用程序,并可能损害更多用户。 marstech1使用命令和控制(C2)基础架构,该基础架构通过端口3000而不是1224或1245进行通信,并且缺少以前Lazarus广告系列的功能,例如最近的Phantom电路攻击中看到的React Web面板。拉撒路(Lazarus)是据称由朝鲜政府经营的网络犯罪组织。 幻影电路攻击 Marstech1的功能主要涉及针对跨窗户,MacOS和Linux的加密货币钱包,扫描引起的感兴趣钱包,阅读其内容并提取元数据的系统。 该植入物还实施了多层混淆技术,这是从拉撒路(Lazarus)看过的,研究人员说,当嵌入到软件包中时,研究人员允许它没有引起人们的注意。 在查看Marstech1时,所有以下所有操作都在行动中观察到: 控制流平坦和自我驱动功能 base64字符串编码
鉴于Web3开发人员对NPM和Marstech1使用静态和动态分析逃避检测的能力的依赖,该活动对加密货币开发人员构成了真正的危险。
存在供应链风险,因为可以下载并不知不觉地将损坏的软件包引入应用程序,并可能损害更多用户。
marstech1使用命令和控制(C2)基础架构,该基础架构通过端口3000而不是1224或1245进行通信,并且缺少以前Lazarus广告系列的功能,例如最近的Phantom电路攻击中看到的React Web面板。拉撒路(Lazarus)是据称由朝鲜政府经营的网络犯罪组织。幻影电路攻击
Marstech1的功能主要涉及针对跨窗户,MacOS和Linux的加密货币钱包,扫描引起的感兴趣钱包,阅读其内容并提取元数据的系统。
该植入物还实施了多层混淆技术,这是从拉撒路(Lazarus)看过的,研究人员说,当嵌入到软件包中时,研究人员允许它没有引起人们的注意。