Lazarusハッキング・グループと悪質なnpmパッケージの関連性
悪名高いハッキング・グループ「Lazarus」に関連するサイバー攻撃の新たな波が表面化し、6つの悪意のあるnpmパッケージが無防備な開発者を標的に使用されている。
Socket Research Teamによって発見されたこれらのパッケージは、認証情報や暗号通貨データを含む機密情報を盗むように設計されている。
この悪質なコードはすでに330回以上ダウンロードされており、脅威の大きさを浮き彫りにしている。
悪質なnpmパッケージが増加中
攻撃で確認された6つのパッケージは、開発者を騙してインストールさせるためにタイポスクワッティングの手口を使い、正規のものと酷似している。
is-buffer-validator "や "auth-validator "を含むこれらのパッケージは、システムに侵入し、ログイン情報、暗号通貨ウォレット情報、ブラウザデータなどの重要なデータを盗むように設計されている。
さらに、これらのパッケージによって展開されるマルウェアには、リモートアクセス用のバックドアも含まれており、影響を受けるシステムに長期的な脆弱性を生じさせる。
影響を受けたnpmパッケージは、一般的なユーティリティを探している開発者に合法的に見えるような名前が付けられていた。
パッケージには以下のものが含まれていた:
- is-buffer-validator :人気のある "is-buffer" ライブラリの悪意のあるバージョンは、資格情報を盗むために使用されます。
- yoojae-validator: 機密データを収集するために設計された偽の検証ライブラリ。
- イベント・ハンドル・パッケージ: イベント・ハンドラを装って、実際にはバックドアを展開する。
- array-empty-validator: ブラウザとシステムの認証情報を盗む詐欺パッケージ。
- react-event-dependency: Reactユーティリティを装ってマルウェアを実行し、システムを侵害する。
- auth-validator: 認証ツールを模倣したこのパッケージは、ログインデータを盗むように設計されています。
開発者と暗号ユーザーのターゲット
この攻撃は開発者を狙ったものだが、暗号通貨ユーザーにも重大なリスクをもたらす。
このマルウェアは、Chrome、Brave、Firefoxのブラウザ・プロファイルを標的とし、保存されているログイン情報、クッキー、履歴を探し出す。
macOSでは、キーチェーンデータを抽出しようとする。
さらに、このパッケージは暗号通貨ウォレットのデータを採取するようにプログラムされており、特にソラナとエクソダスのウォレットをターゲットにしている。
によるとソケットレポート このマルウェアはシステムディレクトリを系統的に検索し、Solanaウォレットから"Login Data"や"id.json"のようなファイルを抽出します。
報告書はこう説明している、
"このコードは、ホスト名、オペレーティングシステム、システムディレクトリを含むシステム環境の詳細を収集するように設計されている。"
有害なソフトウェアのダウンロードを可能にするコード。(出典:Socket)
ラザロ・グループの特徴的な戦術
この攻撃がラザロによるものであるかどうかはまだわからないが、同グループの類似した活動の歴史は警戒を呼び起こすものである。
Lazarusは以前から、npm、GitHub、PyPIなどのソフトウェアレジストリを標的にして悪質なコードを拡散することで知られている。
これまでのキャンペーンは、Bybit取引所が関与した15億ドルの巨額暗号強盗を含む、知名度の高い攻撃に関連している。
今回の情報漏洩とは関係ないにもかかわらず、このグループは暗号通貨分野で継続的な活動を行っており、特に懸念される。
この最新の攻撃の背後にいる脅威行為者は、6つのパッケージのうち5つについてGitHubリポジトリを作成・管理し、開発者に合法的に見えるようにしていた。
この戦略は、パッケージが正規のコードベースに統合される可能性を高め、検知をより困難にする。
継続的な取り組みの一環として、Socketチームは悪意のあるリポジトリとユーザーアカウントを報告し、npmとGitHubからの削除を請願している。
しかし、報告の時点では、パッケージはまだ有効である。
続くラザロの脅威
ラザロ・グループは、しばしば北朝鮮とつながっており、世界の暗号通貨業界を標的にした巧妙なサイバーキャンペーンで悪名高い。
こうした有名な侵害にもかかわらず、Lazarusは長期間発見されずに活動できるため、依然として根強い脅威となっている。
Socket Security社の脅威インテリジェンス・アナリスト、キリル・ボイチェンコ氏は言う、
「APTグループは、5つの悪意のあるパッケージのGitHubリポジトリを作成・管理し、オープンソースの正当性を装った。これにより、有害なコードが開発者のワークフローに組み込まれる可能性が高まる。"
これらの発見を踏まえ、開発者はサードパーティ製パッケージを使用する際には注意を払い、プロジェクトに組み込む前にコードを注意深く見直し、潜在的な脅威を特定するよう求められている。