Сегодня 05 марта 2025
18+
MWC 2018 2018 Computex IFA 2018
реклама
Новости Software

Северокорейские хакеры наводнили интернет клонами открытого ПО, в которые внедрили бэкдоры

Хакерская группировка Lazarus, которую связывают с властями КНДР, провела крупномасштабную операцию Phantom Circuit — они скомпрометировали сотни систем по всему миру с целью кражи секретной информации. Для этого злоумышленники клонировали легитимное ПО с открытым кодом и внедряли в него бэкдоры в надежде, что разработчики и другие потенциальные жертвы, преимущественно работающие в криптовалютной отрасли, случайно воспользуются ими и сделают свои машины уязвимыми. Вредоносные проекты распространялись через крупные платформы, включая GitLab.

 Источник изображения: AltumCode / unsplash.com

Источник изображения: AltumCode / unsplash.com

Схему обнаружили эксперты в области кибербезопасности из компании SecurityScorecard. В минувшем ноябре жертвами хакеров стали 181 разработчик преимущественно из европейского технологического сектора. В декабре их число выросло до 1225 человек, включая 284 из Индии и 21 из Бразилии. В январе к их числу добавились ещё 233 жертвы, в том числе 110 из технологического сектора Индии. Киберпреступникам удалось похитить учётные данные своих жертв, токены аутентификации, пароли и другую конфиденциальную информацию.

В число клонированных и изменённых хакерами репозиториев вошли такие проекты как Codementor, CoinProperty, Web3 E-Store, менеджер паролей на основе Python, а также другие приложения, связанные с криптовалютой и web3, рассказали в SecurityScorecard. Когда жертва неосознанно загружала и устанавливала такое приложение-форк, на его машину также устанавливался бэкдор, позволяющий злоумышленникам подключаться к ней, похищать конфиденциальные данные и отправлять их на свои ресурсы. Участвующие в схеме Phantom Circuit управляющие (C2) серверы Lazarus Group, как выяснилось, начали работу ещё в сентябре — они использовались для связи с заражёнными системами, доставки вредносного ПО и копирования украденных данных. Экспертам так и не удалось выяснить, «как обрабатывались извлечённые данные, и какая инфраструктура использовалась для управления этим серверами».

Эксперты обнаружили скрытую административную систему, размещённую на каждом сервере — она обеспечивала централизованное управление атакой; система была написана на основе React и Node.js. Чтобы скрыть происхождение кампании, хакеры Lazarus Group применяли многослойную обфускацию. Чтобы скрыть географическое происхождение, использовался VPN, а на прокси-уровне вредоносная активность смешивалась с безобидным сетевым трафиком. Серверы размещались в инфраструктуре Stark Industries — специалисты SecurityScorecard установили, что к ним подключались не менее чем с шести северокорейских адресов, один из которых ранее был связан с атаками Lazarus на платформу Codementor. Похищенные данные выгружались в облачное хранилище Dropbox.

Источник:

Если вы заметили ошибку — выделите ее мышью и нажмите CTRL+ENTER.
Материалы по теме

window-new
Soft
Hard
Тренды 🔥
Звезда Marvel 1943: Rise of Hydra проговорился, когда выйдет игра 52 мин.
«Росатом» приобрел «Топ Системы» 2 ч.
Nvidia выпустила драйвер с поддержкой GeForce RTX 5070 2 ч.
Microsoft завершила проект EU Data Boundary по созданию суверенного облака для пользователей из Евросоюза 5 ч.
Роман «Перекрёсток воронов» по «Ведьмаку» выйдет в России, причём уже скоро — доступна первая глава на русском языке 5 ч.
Выручка VK Tech за 2024 год выросла на 42,1 %, драйверами были VK Cloud и VK WorkSpace 6 ч.
Google попросил администрацию Трампа не делить «поисковую монополию», чтобы «не сломать экономику США» 6 ч.
Угнанные аккаунты Telegram подорожали до 160 руб. за штуку, а число краж заметно выросло 7 ч.
Google Pixel 10 получит нового ИИ-ассистента Pixie, который будет работать локально и сможет управлять приложениями 8 ч.
Mozilla Firefox 136 получил вертикальные вкладки, Arm-версию и новые возможности для видео 8 ч.
Meta ведёт переговоры о привлечении $35 млрд на строительство ЦОД 9 мин.
Представлен GlocalMe PetPhone — смартфон для домашних животных с двухсторонней связью 40 мин.
Apple представила обновлённые Mac Studio с чипами M4 Max и M3 Ultra 47 мин.
Apple представила обновлённые MacBook Air на базе чипа M4 — они стали мощнее, но дешевле 2 ч.
Беспилотный суперкар Maserati MC20 установил рекорд скорости, разогнавшись до 318 км/ч 2 ч.
Трамп всё ещё хочет ввести пошлины на тайваньские чипы — сделка с TSMC на $100 млрд ничего не изменила 2 ч.
Qualcomm стала ещё одним получателем чипов, производимых на предприятии TSMC в Аризоне 3 ч.
Во Вселенной нашлось множество тусклых круглых объектов — их разглядели новейшие радиотелескопы 4 ч.
Российские разработчики RISC-V-процессоров попросили о господдержке, как в Китае 4 ч.
Intel не справляется с техпроцессом 18A: запуск производства процессоров Panther Lake отодвинут 5 ч.
Включить темный режим