แฮกเกอร์เกาหลีเหนือ Lazarus Group แพร่มัลแวร์ผ่านแพ็คเกจ npm หลอกนักพัฒนาซอฟต์แวร์ดาวน์โหลดกว่า 330 ครั้ง
แฮกเกอร์เกาหลีเหนือที่รู้จักกันในนาม Lazarus Group ได้เปิดการโจมตีแบบซับซ้อนต่อระบบนิเวศ npm โดยปล่อยแพ็คเกจที่มีมัลแวร์จำนวน 6 ตัว ออกแบบมาเพื่อขโมยข้อมูลการเข้าสู่ระบบและติดตั้งแบ็คดอร์ในระบบที่ถูกโจมตี
แพ็คเกจที่มีมัลแวร์ได้แก่ is-buffer-validator, yoojae-validator, event-handle-package, array-empty-validator, react-event-dependency และ auth-validator ซึ่งมียอดดาวน์โหลดรวมกันมากกว่า 330 ครั้ง แพ็คเกจเหล่านี้ใช้เทคนิค “typosquatting” โดยการเลียนแบบชื่อของไลบรารีที่ได้รับความไว้วางใจอย่างแพร่หลาย เพื่อหลอกให้นักพัฒนานำไปใช้ในโปรเจ็กต์ของพวกเขา
มัลแวร์ที่ฝังอยู่ในแพ็คเกจเหล่านี้สามารถรวบรวมรายละเอียดสภาพแวดล้อมของระบบ แยกข้อมูลสำคัญจากเบราว์เซอร์ และพุ่งเป้าไปที่กระเป๋าสกุลเงินดิจิทัล มันจะค้นหาและดึงข้อมูลสำคัญเช่น ข้อมูลการเข้าสู่ระบบจาก Chrome, Brave และ Firefox รวมถึงไฟล์ keychain บน macOS ข้อมูลที่ถูกขโมยจะถูกส่งไปยังเซิร์ฟเวอร์ควบคุมและสั่งการ (C2) ที่กำหนดไว้
การโจมตีครั้งนี้สอดคล้องกับการดำเนินงานก่อนหน้านี้ของ Lazarus รวมถึงการใช้เทคนิคการเข้ารหัสที่เหมือนกัน และการโจมตีข้ามแพลตฟอร์มทั้งระบบ Windows, macOS และ Linux
เพื่อลดความเสี่ยงจากภัยคุกคามเหล่านี้ องค์กรต่างๆ ควรใช้วิธีการหลายชั้นในการตรวจจับและป้องกัน ซึ่งรวมถึงการตรวจสอบความต้องการพึ่งพา (dependency) อัตโนมัติ การตรวจสอบโค้ด และการเฝ้าติดตามการเปลี่ยนแปลงที่ผิดปกติอย่างต่อเนื่อง การให้ความรู้แก่ทีมพัฒนาเกี่ยวกับกลยุทธ์ typosquatting ที่พบบ่อย และการส่งเสริมให้มีความระมัดระวังก่อนติดตั้งแพ็คเกจใหม่ก็มีความสำคัญเช่นกัน
แม้ว่าแพ็คเกจที่มีมัลแวร์ได้ถูกระบุแล้ว แต่ภัยคุกคามยังคงดำเนินอยู่ นักพัฒนาจึงถูกเตือนให้ตรวจสอบโค้ดในซอฟต์แวร์โอเพ่นซอร์สอย่างละเอียดเพื่อหาสัญญาณที่น่าสงสัย เช่น โค้ดที่ถูกทำให้อ่านเข้าใจยาก และการเรียกไปยังเซิร์ฟเวอร์ภายนอก
ที่มา: BleepingComputer
