- Die Lazarus Group nutzt npm-Pakete, um BeaverTail-Malware zu verbreiten, die auf Solana- und Exodus-Wallets abzielt.
- Diese Angriffe konzentrieren sich auf den Diebstahl von Anmeldeinformationen und die Bereitstellung von dauerhaften Hintertüren durch bösartige Pakete.
Eine neue Bedrohung zeichnet sich ab, da die nordkoreanische Lazarus-Group npm-Pakete zur Verbreitung von Malware nutzt. Die Forscher identifizierten sechs Pakete mit Malware, die darauf abzielt, die Entwicklungsumgebung zu kompromittieren und vertrauliche Informationen zu stehlen.
Diese Pakete, von denen mehr als 300 heruntergeladen wurden, installieren die BeaverTail-Malware, um Anmeldedaten abzufangen und unbefugte Kontrolle über Solana- und Exodus-Wallets zu erlangen.
Sie verwenden die Typosquatting-Methode, bei der ihre Schadpakete die Namen beliebter Bibliotheken erhalten. Mit dieser Methode werden Entwickler dazu verleitet, unwissentlich schädlichen Code in ihre Codebasen einzufügen.
Durch die Erstellung von GitHub-Repositories für die fünf Pakete verleiht Lazarus seiner Kampagne Legitimität und erhöht die Wahrscheinlichkeit, dass die Malware ausgeführt wird.
Die Malware sucht speziell nach Browserprofilen und zielt auf Dateien ab, die in Chrome, Brave und Firefox gespeichert sind. Sie versucht auch, Schlüsselbunddaten auf macOS-Geräten zu extrahieren.
Diese Aktivitäten spiegeln einen hochgradig koordinierten Versuch wider, Anmeldedaten zu stehlen und die Kontrolle über Kryptowährungs-Wallets zu übernehmen. Die Forscher stellen fest, dass diese Bedrohungen in der npm-Registrierung verbleiben und derzeit entfernt werden.
Lazarus greift Solana- und Exodus-Wallets mit heimlicher Malware an
Cybersecurity-Experten haben die Beteiligung von Lazarus an dem Angriff anhand der Analyse des Schadcodes und der Verteilungsmethoden nachvollzogen. Die Malware nutzt eine Verschleierung, um ihre wahren Absichten zu verbergen und eine Entdeckung zu vermeiden.
Sie setzt verschiedene Täuschungsmechanismen ein, wie z. B. die Verwendung von dynamischen Funktionskonstruktoren und selbstaufrufenden Funktionen, um Sicherheitsscans zu umgehen.
Die Hauptfunktion der Malware besteht darin, Systemdaten zu sammeln, einschließlich Betriebssystemdaten und Hostnamen. Sie sucht auch nach gespeicherten Anmeldedaten in Browserprofilen und ruft die erforderlichen Dateien mit den Daten zur Benutzerauthentifizierung ab.
Neben den Anmeldedaten zielt der Angriff auch auf Kryptowährungs-Wallets ab. Die Malware sucht aktiv nach Solana-Wallet-Keys und Exodus-Wallet-bezogenen Dateien und überträgt die gestohlenen Daten an einen bestimmten Command-and-Control-Server.
Neben dem direkten Datendiebstahl setzt Lazarus auch eine zweite Hintertür ein, die als InvisibleFerret bekannt ist. Die Malware der zweiten Stufe wird in mehreren Schritten heruntergeladen und entpackt, so dass ein ständiger Zugriff auf die infizierten Rechner möglich ist.
Da sie Teil der Entwicklungspipelines wird, bleibt die Malware bestehen, selbst wenn das Sicherheitsteam einen Teil des Angriffs identifiziert und entfernt.
Verteidigung gegen Angriffe auf der Versorgungskette
Cybersecurity-Experten gehen davon aus, dass die Lazarus-Group und andere ähnliche Gruppen ihre Taktiken weiter ausbauen werden. Angesichts der zunehmenden Komplexität der Angriffe müssen Unternehmen ihre Sicherheitsmaßnahmen gegen Bedrohungen der Versorgungskette verschärfen.
Ein solcher Ansatz ist die automatische Prüfung von Abhängigkeiten. Mit diesem Ansatz können Anomalien in Paketen von Drittanbietern erkannt werden, bevor sie in Live-Umgebungen eingesetzt werden.
Entwickler müssen bei der Installation neuer Pakete mit npm vorsichtig sein, insbesondere bei Paketen, die nur in geringem Umfang heruntergeladen werden oder bei Paketen aus unbekannten Quellen.
Die regelmäßige Überwachung von Software-Abhängigkeiten erkennt anomale Updates, und die Blockierung des ausgehenden Datenverkehrs zu verdächtigen Command-and-Control-Servern verhindert die Datenexfiltration.
Unternehmen müssen auch nicht vertrauenswürdigen Code in einer Sandbox unterbringen, um sein Verhalten vor der vollständigen Bereitstellung zu überprüfen. GitHub-Scans in Echtzeit und Browser-Plugins, die verdächtige Downloads erkennen, sind weitere Schutzmaßnahmen.