Північнокорейські хакери атакують розробників криптовалют через відкриті платформи: як захиститися від кіберзагроз?
Близько трьохсот шкідливих пакетів, що містять небезпечний код, були завантажені до реєстру npm у рамках кампанії, яку дослідники назвали «Захворювання інтерв’ю». Ці фальшиві пропозиції про роботу намагалися заманити розробників у сфері Web3 та криптовалют, викрадаючи особисті дані, паролі та ключі гаманців. Фахівці з безпеки попереджають, що атаки на програмне забезпечення через ланцюги постачання стають дедалі популярнішими серед державних акторів.
Американська компанія з кібербезпеки нещодавно опублікувала звіт, в якому йдеться про те, що північнокорейські хакери перетворили одну з найбільш використовуваних у світі бібліотек програмного забезпечення на платформу для розповсюдження шкідливих програм. Згідно з даними компанії Socket, що спеціалізується на безпеці ланцюгів постачання, було знайдено понад 300 зловмисних пакетів у реєстрі npm — центральному репозиторії, яким користуються мільйони розробників для обміну та встановлення програмних рішень на JavaScript.
Ці пакети, що виглядали на перший погляд безпечними, здатні були виявлятися шкідливими після завантаження, встановлюючи програми, які могли викрадати паролі, дані браузера та ключі крипто-гамців. Дослідники вважають, що кампанія «Захворювання інтерв’ю» є частиною більш складної операції, організованої північнокорейськими хакерами, які видавали себе за технічних рекрутерів, щоб націлитися на спеціалістів у сфері блокчейн-технологій та Web3.
Важливо зауважити, що npm є своєрідним «кістяком» сучасного веб-простору. Атака на цей ресурс дозволяє зловмисникам безперешкодно впроваджувати шкідливий код у безліч легітимних додатків, що робить такі «апарати» особливо небезпечними, оскільки вони можуть поширюватися через легальні оновлення.
Дослідники Socket простежили цю кампанію за схожими назвами пакетів, які містили помилки в написанні популярних бібліотек, а також за допомогою кодових патернів, що пов’язані з відомими родинами шкідливих програм, такими як BeaverTail і InvisibleFerret. Атакуючи, зловмисники використовували зашифровані «завантажувачі», які розшифровували та виконували приховані дані безпосередньо в пам’яті, залишаючи мало слідів на жорсткому диску. Порядка 50 тисяч завантажень цих небезпечних пакетів сталися до їхнього видалення, проте деякі з них досі залишаються в онлайні.
Атакуючі також використовували фальшиві облікові записи рекрутерів у LinkedIn, що повторює тактику, зафіксовану під час інших кібер-операцій Північної Кореї. Загальна мета, на думку слідчих, полягала в отриманні доступу до облікових даних та цифрових гамців.
Хоча дані Socket підтверджують інформацію інших аналітичних груп і державних установ про зв’язки Північної Кореї з крадіжками в світі криптовалют, повна перевірка всіх деталей, таких як точна кількість скомпрометованих пакетів, ще чекає на підтвердження. Проте, технічні свідчення і патерни, що описуються, відповідають попереднім випадкам, пов’язаним із Пхеньяном.
Компанія-володілець npm, GitHub, заявила, що прибирає шкідливі пакети по мірі їх виявлення і покращує вимоги до верифікації облікових записів. Але дослідники вважають, що це свого роду гра у «мурашник»: видалено одну групу шкідливих пакетів, і на їх місце з’являються сотні нових.
Ця ситуація є серйозним сигналом для розробників і стартапів у сфері криптовалют про те, наскільки вразливим став ланцюг постачання програмного забезпечення. Аналітики закликають команди ставитися до кожної команди «npm install» як до потенційної виконуваної програми, сканувати залежності перед їх інтеграцією в проекти і використовувати автоматизовані інструменти для виявлення підроблених пакетів. Сила відкритої екосистеми — її доступність — стає її найбільшою слабкістю, коли вороги вирішують її використати в своїх цілях.
