Сегодня 06 апреля 2025
18+
MWC 2018 2018 Computex IFA 2018
реклама
Новости Software

Северокорейские хакеры наводнили интернет клонами открытого ПО, в которые внедрили бэкдоры

Хакерская группировка Lazarus, которую связывают с властями КНДР, провела крупномасштабную операцию Phantom Circuit — они скомпрометировали сотни систем по всему миру с целью кражи секретной информации. Для этого злоумышленники клонировали легитимное ПО с открытым кодом и внедряли в него бэкдоры в надежде, что разработчики и другие потенциальные жертвы, преимущественно работающие в криптовалютной отрасли, случайно воспользуются ими и сделают свои машины уязвимыми. Вредоносные проекты распространялись через крупные платформы, включая GitLab.

 Источник изображения: AltumCode / unsplash.com

Источник изображения: AltumCode / unsplash.com

Схему обнаружили эксперты в области кибербезопасности из компании SecurityScorecard. В минувшем ноябре жертвами хакеров стали 181 разработчик преимущественно из европейского технологического сектора. В декабре их число выросло до 1225 человек, включая 284 из Индии и 21 из Бразилии. В январе к их числу добавились ещё 233 жертвы, в том числе 110 из технологического сектора Индии. Киберпреступникам удалось похитить учётные данные своих жертв, токены аутентификации, пароли и другую конфиденциальную информацию.

В число клонированных и изменённых хакерами репозиториев вошли такие проекты как Codementor, CoinProperty, Web3 E-Store, менеджер паролей на основе Python, а также другие приложения, связанные с криптовалютой и web3, рассказали в SecurityScorecard. Когда жертва неосознанно загружала и устанавливала такое приложение-форк, на его машину также устанавливался бэкдор, позволяющий злоумышленникам подключаться к ней, похищать конфиденциальные данные и отправлять их на свои ресурсы. Участвующие в схеме Phantom Circuit управляющие (C2) серверы Lazarus Group, как выяснилось, начали работу ещё в сентябре — они использовались для связи с заражёнными системами, доставки вредносного ПО и копирования украденных данных. Экспертам так и не удалось выяснить, «как обрабатывались извлечённые данные, и какая инфраструктура использовалась для управления этим серверами».

Эксперты обнаружили скрытую административную систему, размещённую на каждом сервере — она обеспечивала централизованное управление атакой; система была написана на основе React и Node.js. Чтобы скрыть происхождение кампании, хакеры Lazarus Group применяли многослойную обфускацию. Чтобы скрыть географическое происхождение, использовался VPN, а на прокси-уровне вредоносная активность смешивалась с безобидным сетевым трафиком. Серверы размещались в инфраструктуре Stark Industries — специалисты SecurityScorecard установили, что к ним подключались не менее чем с шести северокорейских адресов, один из которых ранее был связан с атаками Lazarus на платформу Codementor. Похищенные данные выгружались в облачное хранилище Dropbox.

Источник:

Если вы заметили ошибку — выделите ее мышью и нажмите CTRL+ENTER.
Материалы по теме

window-new
Soft
Hard
Тренды 🔥
Новая статья: Atomfall — чаепитие на обочине. Рецензия 4 ч.
Новая статья: Gamesblender № 720: анонсы презентации Switch 2, Ubisoft + Tencent, борьба за будущее StarCraft 5 ч.
Microsoft добавила Copilot память и персонализацию, разрешила сидеть в интернете вместо пользователя и научила рассуждать 13 ч.
Трамповские пошлины сорвали сделку по продаже американской части TikTok, несмотря на «огромный прогресс» 16 ч.
Единый реестр российского ПО вырос в 2024 году на четверть до 24,3 тыс. решений 18 ч.
Новая статья: Wreckfest 2 — праздник будет, но потом. Предварительный обзор 05-04 00:05
«Киберпротект» представил систему резервного копирования и восстановления данных для малого бизнеса 04-04 23:59
FromSoftware не бросит однопользовательские игры ради мультиплеерных, хоть сейчас и сосредоточена на Elden Ring Nightreign с The Duskbloods 04-04 23:21
Трамп отсрочил запрет TikTok в США ещё на 75 дней 04-04 22:49
Eidos Montreal нацелилась возродить Deus Ex — первые подробности новой игры серии 04-04 21:57
Большому марсианскому вертолёту придумали новую миссию — он поищет воду и жизнь в каньонах планеты 8 ч.
Zephyr представила компактную видеокарту GeForce RTX 4070 Sakura Snow X в корпусе, вырезанном ЧПУ-станком 10 ч.
PlayStation 5 и Xbox Series X грозит подорожание на 40 % из-за новых пошлин США 15 ч.
Тарифы Трампа приведут к удорожанию производства чипов в США 15 ч.
Apple расширит производство iPhone в Бразилии, чтобы сэкономить на пошлинах 15 ч.
Смартфон Infinix Note 50s 5G+ получит встроенную ароматическую добавку 16 ч.
Марсоход NASA Perseverance стал свидетелем танца «пылевых дьяволов» на Марсе — они не поделили территорию 17 ч.
Samsung снова подала в суд на одного из крупнейших конкурентов — китайскую BOE 18 ч.
Европейский суперкомпьютер Discoverer получил обновление в виде NVIDIA DGX H200 18 ч.
Представлен первый в Китае высокопроизводительный процессор RISC-V для серверов — чип Lingyu 18 ч.
Включить темный режим