Недавно была обнаружена обширная кампания от северокорейской хакерской группы Lazarus, атаковая через реестр административного программного обеспечения Package Noda. Шесть обнаруженных пакетов используются для кражи чувствительных данных, развертывания задней воды и извлечения криптовалют. Исследовательская группа Socket показала эту кампанию, которая имеет прямые отношения с предыдущими атаками Лазаря. Хакеры используют технику так называемого. Типосокватирование, создавая таким образом пакеты с именами, аналогичными популярным библиотекам, чтобы обмануть разработчиков и заставлять их случайно установить. Типосокватинг работает создание имен с именами, очень похожими на неизвестные библиотеки, которые могут привести к установке ошибок. Злоусовеченные пакеты. Следующие таблицы делятся вредоносными пакетами и их функциями: багаж – это буферный валидация имитирует популярную библиотеку буферов и служит краже входа в систему Data4. Библиотека валидации yaojae-valid-falsa, которая извлекает конфиденциальные данные из инфицированных систем4. Маска пакета Man Man в качестве обработки событий, но фактически устанавливает заднюю дверь для удаленного доступа4. Marray-Empty-Pollfiner Fodse упакован для входа в систему в системном входе в данные и браузер. Зависимость от реагирования-это реакционная помощь, но запускает вредоносное ПО для компромисса разработчика. Автомалидатор имитирует инструменты управления, чтобы украсть данные и ключи API. Злодие пакеты содержат код, который фокусируется на краже конфиденциальной информации, такой как криптомические деньги и данные браузера, включая сохраненные пароли, файлы cookie и историю просмотра. Хакеры используют Beavertail -Malwareware и невидимую фабрику, которые уже использовались в ложных заданиях. «Код предназначен для сбора подробностей системы -среда системы, включая имя хоста, операционную систему и папки системы», -говорится в отчете Сокета. «Систематически находить и извлекать конфиденциальные файлы, такие как Chrome, Brave и Firefox -log, а также архивы архивов ключей в macOS». Хакеры обращают внимание на специальный криптомический кошелек, а именно извлечение id.json из одиночного и выхода. Wallet от выхода. Все шесть вредоносных пакетов по -прежнему доступны на Github NPM и Github Storage, что означает, что угроза все еще активна. Разработчики разработчиков советуют тщательно проверять пакеты, которые они используют в своих проектах, и постоянно изучают код в программном обеспечении с открытым исходным кодом, чтобы найти подозрительных символов, таких как код Elkov, и вызов внешних серверов. Также рекомендуется регулярно обновлять список используемых пакетов и контролировать их легитимность. Источник: BleepingComputer, Источник изображений: недоумение AI,