Сегодня 30 апреля 2025
18+
MWC 2018 2018 Computex IFA 2018
реклама
Новости Software

Северокорейские хакеры наводнили интернет клонами открытого ПО, в которые внедрили бэкдоры

Хакерская группировка Lazarus, которую связывают с властями КНДР, провела крупномасштабную операцию Phantom Circuit — они скомпрометировали сотни систем по всему миру с целью кражи секретной информации. Для этого злоумышленники клонировали легитимное ПО с открытым кодом и внедряли в него бэкдоры в надежде, что разработчики и другие потенциальные жертвы, преимущественно работающие в криптовалютной отрасли, случайно воспользуются ими и сделают свои машины уязвимыми. Вредоносные проекты распространялись через крупные платформы, включая GitLab.

 Источник изображения: AltumCode / unsplash.com

Источник изображения: AltumCode / unsplash.com

Схему обнаружили эксперты в области кибербезопасности из компании SecurityScorecard. В минувшем ноябре жертвами хакеров стали 181 разработчик преимущественно из европейского технологического сектора. В декабре их число выросло до 1225 человек, включая 284 из Индии и 21 из Бразилии. В январе к их числу добавились ещё 233 жертвы, в том числе 110 из технологического сектора Индии. Киберпреступникам удалось похитить учётные данные своих жертв, токены аутентификации, пароли и другую конфиденциальную информацию.

В число клонированных и изменённых хакерами репозиториев вошли такие проекты как Codementor, CoinProperty, Web3 E-Store, менеджер паролей на основе Python, а также другие приложения, связанные с криптовалютой и web3, рассказали в SecurityScorecard. Когда жертва неосознанно загружала и устанавливала такое приложение-форк, на его машину также устанавливался бэкдор, позволяющий злоумышленникам подключаться к ней, похищать конфиденциальные данные и отправлять их на свои ресурсы. Участвующие в схеме Phantom Circuit управляющие (C2) серверы Lazarus Group, как выяснилось, начали работу ещё в сентябре — они использовались для связи с заражёнными системами, доставки вредносного ПО и копирования украденных данных. Экспертам так и не удалось выяснить, «как обрабатывались извлечённые данные, и какая инфраструктура использовалась для управления этим серверами».

Эксперты обнаружили скрытую административную систему, размещённую на каждом сервере — она обеспечивала централизованное управление атакой; система была написана на основе React и Node.js. Чтобы скрыть происхождение кампании, хакеры Lazarus Group применяли многослойную обфускацию. Чтобы скрыть географическое происхождение, использовался VPN, а на прокси-уровне вредоносная активность смешивалась с безобидным сетевым трафиком. Серверы размещались в инфраструктуре Stark Industries — специалисты SecurityScorecard установили, что к ним подключались не менее чем с шести северокорейских адресов, один из которых ранее был связан с атаками Lazarus на платформу Codementor. Похищенные данные выгружались в облачное хранилище Dropbox.

Источник:

Если вы заметили ошибку — выделите ее мышью и нажмите CTRL+ENTER.
Материалы по теме

window-new
Soft
Hard
Тренды 🔥
Уже 30 % программного кода Microsoft написано искусственным интеллектом, а не людьми 6 мин.
Xiaomi выпустила открытую рассуждающую ИИ-модель MiMo и заявила, что она быстрее OpenAI o1-mini 10 мин.
Кавказские пленники: игроки на юге России уже две недели сидят без доступа к Steam и 700 другим сервисам, а Роскомнадзор проблем не наблюдает 21 мин.
Глава Gearbox опроверг, что Borderlands 4 перенесли ради GTA VI или «любого другого продукта» 23 мин.
Релиз амбициозного китайского боевика Lost Soul Aside отложили на три месяца — объявлена новая дата выхода 3 ч.
Криптобиржу Grinex заподозрили в связях с заблокированной российской биржей Garantex 4 ч.
Reddit заблокировала учёных за тайный эксперимент с ИИ-ботами в дискуссиях 6 ч.
OpenAI откатила обновление ChatGPT из-за подхалимского поведения ИИ 7 ч.
Mozilla Firefox представила долгожданную функцию разделения профилей, как в Chrome 8 ч.
Маск объявил скорый выход Grok 3.5 — размышляющего ИИ, который будет «создавать ответы с нуля» без интернета 13 ч.
Innodisk выпустила E3.L SSD с интерфейсом PCIe 5.0 ёмкостью 128 Тбайт 6 мин.
Nvidia опровергла слухи о намерениях создать совместное предприятие в Китае 16 мин.
У Apple произошли перестановки в музыкальном и международном отделах 41 мин.
Российские производители потребовали полностью запретить госзакупки иностранной электроники 52 мин.
США собрались пересмотреть экспортные ограничения на ИИ-чипы, но вряд ли остальным странам станет от этого лучше 2 ч.
AWS построит в Индиане дата-центр, который будет потреблять энергии как половина населения штата 4 ч.
Выручка Seagate выросла на 31 % и превзошла ожидания аналитиков 4 ч.
Ракета Firefly Alpha доставила спутник в Тихий океан вместо орбиты — всему виной загадочный сбой 5 ч.
Прибыль Samsung в полупроводниковом секторе упала на 42 % из-за санкций и низких цен 6 ч.
TSMC приступила к строительству третьего предприятия в штате Аризона 7 ч.