В последнее время наблюдается рост кибератак со стороны Северной Кореи, направленных на разработчиков криптовалют. Особенно тревожным является использование уязвимостей в реестре NPM (Node Package Manager) для нанесения ущерба. Атака затрагивает популярные криптовалютные кошельки, такие как Exodus и Atomic. Согласно исследованиям компании SecurityScorecard, атака под названием Marstech1 уже привела к компрометации 233 разработчиков, которые установили зараженные продукты. Эта новая угроза демонстрирует развитие методов работы киберпреступников из Северной Кореи, которые продолжают искать способы извлечения финансовой выгоды от своих атак.
Основной целью таких атак является кража криптовалюты из электронных кошельков, используемых разработчиками на различных операционных системах, включая Windows, macOS и Linux. Зараженный софт скрывает свои функции, реализуя сложные механизмы защиты от анализа, что значительно усложняет его обнаружение. Основные техники, использованные в Marstech1, включают: - Размещение командного управления (C2) на нестандартном порте 3000; - Многоуровневая обфускация кода, включая шифрование строк. Это делает атаку особенно опасной, так как зараженные пакеты могут быть загружены и случайно использованы в других приложениях, что потенциально угрожает безопасности еще большему количеству пользователей. Проект Marstech Mayhem стал известен в декабре 2024 года, и его связь с группой Лазарус подтвердил анализ кода и активность на GitHub, где аккаунт SuccessFriend был связан с размещением зловредного ПО.
С момента его идентификации он был удален, однако, урон уже был нанесен многим разработчикам. Эксперты подчеркивают важность быстрого реагирования на такие угрозы. Разработчикам рекомендуется проводить регулярные проверки безопасности своих приложений, уделяя особое внимание обеспечению защиты программной цепочки поставок. Каждый пакет, используемый в разработке, должен быть проверен на наличие известных уязвимостей и вредоносного кода. Одним из методов, популярным среди хакеров, является «поисковая» атака, когда злоумышленник подбирает инструменты, которые уже используются законными разработчиками.
Это создает возможность внедрения зловредных элементов в уже существующие проекты. Чаще всего такие атаки нацелены на проекты в сфере Web3, где разработчики полагаются на NPM. Важность обеспечения безопасности поставок программного обеспечения подчеркивается также недавними отчетами от Microsoft, которые сообщают о новых методах атак со стороны другой северокорейской группы – Кимсук. В этой кампании злоумышленники выдавали себя за официальных представителей южнокорейского правительства, убеждая жертв запускать harmful код путем выполнения команд PowerShell. Такой подход акцентирует внимание на человеческом факторе в кибербезопасности.
Даже самые продвинутые системы защиты могут быть обойдены, если пользователи не осведомлены о возможных угрозах. Обучение пользователей и повышение осведомленности об угрозах кибербезопасности должны стать неотъемлемой частью стратегии защиты любой организации. Проблема с атаками на поставку программного обеспечения заключается в том, что затрагиваются не только сами разработчики, но и конечные пользователи, использующие их продукты. Это подчеркивает необходимость более серьезного подхода к кибербезопасности в индустрии разработки программного обеспечения. Более того, инвестирование в стратегически важные инструменты и технологии может значительно уменьшить риски таких атак.
В заключение, атаки на разработчиков криптовалют, такие как Marstech1, служат ярким примером эволюции киберугроз. Все участники разработки програмного обеспечения в области криптовалют должны уделять внимание кибербезопасности, интегрируя решения для разведки угроз и проактивно отслеживая деятельность поставок, чтобы защитить себя и своих пользователей от таких сложных и коварных атак.
