- Die Lazarus Group nutzt npm-Pakete, um BeaverTail-Malware zu verbreiten, die auf Solana- und Exodus-Wallets abzielt.
- Diese Angriffe konzentrieren sich auf den Diebstahl von Anmeldeinformationen und die Bereitstellung von dauerhaften Hintert眉ren durch b枚sartige Pakete.
Eine neue Bedrohung zeichnet sich ab, da die nordkoreanische Lazarus-Group npm-Pakete zur Verbreitung von Malware nutzt. Die Forscher identifizierten sechs Pakete mit Malware, die darauf abzielt, die Entwicklungsumgebung zu kompromittieren und vertrauliche Informationen zu stehlen.
Diese Pakete, von denen mehr als 300 heruntergeladen wurden, installieren die BeaverTail-Malware, um Anmeldedaten abzufangen und unbefugte Kontrolle 眉ber Solana- und Exodus-Wallets zu erlangen.
Sie verwenden die Typosquatting-Methode, bei der ihre Schadpakete die Namen beliebter Bibliotheken erhalten. Mit dieser Methode werden Entwickler dazu verleitet, unwissentlich sch盲dlichen Code in ihre Codebasen einzuf眉gen.
Durch die Erstellung von GitHub-Repositories f眉r die f眉nf Pakete verleiht Lazarus seiner Kampagne Legitimit盲t und erh枚ht die Wahrscheinlichkeit, dass die Malware ausgef眉hrt wird.
Die Malware sucht speziell nach Browserprofilen und zielt auf Dateien ab, die in Chrome, Brave und Firefox gespeichert sind. Sie versucht auch, Schl眉sselbunddaten auf macOS-Ger盲ten zu extrahieren.
Diese Aktivit盲ten spiegeln einen hochgradig koordinierten Versuch wider, Anmeldedaten zu stehlen und die Kontrolle 眉ber Kryptow盲hrungs-Wallets zu 眉bernehmen. Die Forscher stellen fest, dass diese Bedrohungen in der npm-Registrierung verbleiben und derzeit entfernt werden.
Lazarus greift Solana- und Exodus-Wallets mit heimlicher Malware an
Cybersecurity-Experten haben die Beteiligung von Lazarus an dem Angriff anhand der Analyse des Schadcodes und der Verteilungsmethoden nachvollzogen. Die Malware nutzt eine Verschleierung, um ihre wahren Absichten zu verbergen und eine Entdeckung zu vermeiden.
Sie setzt verschiedene T盲uschungsmechanismen ein, wie z. B. die Verwendung von dynamischen Funktionskonstruktoren und selbstaufrufenden Funktionen, um Sicherheitsscans zu umgehen.
Die Hauptfunktion der Malware besteht darin, Systemdaten zu sammeln, einschlie脽lich Betriebssystemdaten und Hostnamen. Sie sucht auch nach gespeicherten Anmeldedaten in Browserprofilen und ruft die erforderlichen Dateien mit den Daten zur Benutzerauthentifizierung ab.
Neben den Anmeldedaten zielt der Angriff auch auf Kryptow盲hrungs-Wallets ab. Die Malware sucht aktiv nach Solana-Wallet-Keys und Exodus-Wallet-bezogenen Dateien und 眉bertr盲gt die gestohlenen Daten an einen bestimmten Command-and-Control-Server.
Neben dem direkten Datendiebstahl setzt Lazarus auch eine zweite Hintert眉r ein, die als InvisibleFerret bekannt ist. Die Malware der zweiten Stufe wird in mehreren Schritten heruntergeladen und entpackt, so dass ein st盲ndiger Zugriff auf die infizierten Rechner m枚glich ist.
Da sie Teil der Entwicklungspipelines wird, bleibt die Malware bestehen, selbst wenn das Sicherheitsteam einen Teil des Angriffs identifiziert und entfernt.
Verteidigung gegen Angriffe auf der Versorgungskette
Cybersecurity-Experten gehen davon aus, dass die Lazarus-Group und andere 盲hnliche Gruppen ihre Taktiken weiter ausbauen werden. Angesichts der zunehmenden Komplexit盲t der Angriffe m眉ssen Unternehmen ihre Sicherheitsma脽nahmen gegen Bedrohungen der Versorgungskette versch盲rfen.
Ein solcher Ansatz ist die automatische Pr眉fung von Abh盲ngigkeiten. Mit diesem Ansatz k枚nnen Anomalien in Paketen von Drittanbietern erkannt werden, bevor sie in Live-Umgebungen eingesetzt werden.
Entwickler m眉ssen bei der Installation neuer Pakete mit npm vorsichtig sein, insbesondere bei Paketen, die nur in geringem Umfang heruntergeladen werden oder bei Paketen aus unbekannten Quellen.
Die regelm盲脽ige 脺berwachung von Software-Abh盲ngigkeiten erkennt anomale Updates, und die Blockierung des ausgehenden Datenverkehrs zu verd盲chtigen Command-and-Control-Servern verhindert die Datenexfiltration.
Unternehmen m眉ssen auch nicht vertrauensw眉rdigen Code in einer Sandbox unterbringen, um sein Verhalten vor der vollst盲ndigen Bereitstellung zu 眉berpr眉fen. GitHub-Scans in Echtzeit und Browser-Plugins, die verd盲chtige Downloads erkennen, sind weitere Schutzma脽nahmen.
