- 19,438
- 40
- 8 Ноя 2022
Доверие к обновлениям стало слабым звеном ИТ-сектора.
Группа северокорейских Для просмотра ссылки Войдиили Зарегистрируйся Lazarus снова на слуху — теперь они перешли от разовых атак к долгосрочному стратегическому внедрению в цепочку поставок ПО. Согласно Для просмотра ссылки Войди или Зарегистрируйся SecurityScorecard, злоумышленники реализуют операцию Phantom Circuit, маскируя вредоносный код в доверенном программном обеспечении. Это позволяет незаметно получать доступ к данным разработчиков в фоновом режиме.
Для просмотра ссылки Войдиили Зарегистрируйся проходила в несколько волн. В ноябре 2024 года атака затронула 181 разработчика, в основном в технологическом секторе Европы. В декабре число жертв увеличилось до 1 225, включая 284 специалиста из Индии и 21 из Бразилии. В январе 2025 года количество пораженных устройств достигло 233, из которых 110 приходилось на индийский ИТ-сектор.
Основная цель — разработчики криптовалютных приложений, технологические компании и создатели открытого ПО. Метод атаки заключался в том, что Lazarus клонировала популярные open-source проекты и добавляла в них бэкдоры. Среди зараженных репозиториев обнаружены Codementor, CoinProperty, Web3 E-Store, а также менеджеры паролей на Python и другие приложения, связанные с криптовалютами и Web3.
После загрузки и использования вредоносного форка на компьютере разработчика активировался бэкдор, который позволял хакерам получать удаленный доступ, извлекать данные и передавать их в Северную Корею. Такой подход демонстрирует изменение тактики Lazarus Group разовых атак к долгосрочному стратегическому внедрению в цепочку поставок ПО.
Украденные данные включают учетные записи, токены аутентификации и пароли. Такие данные могут использоваться не только для последующих атак, но и для разведки в интересах правительства КНДР. По данным расследования, Lazarus перенаправляют украденную информацию на Dropbox, что затрудняет обнаружение и блокировку утечек.
Особенность атаки в том, что вредоносный код распространяется через GitLab — популярную облачную платформу для совместной разработки ПО. Это позволяет злоумышленникам внедрять вредоносные обновления, которые разработчики устанавливают автоматически, доверяя источнику. При этом, чтобы замаскировать свою активность, Lazarus использует VPN и промежуточные прокси-серверы, создавая ложное впечатление, что атака исходит из других стран.
Многоуровневая система маскировки Lazarus ( SecurityScorecard )
Такая стратегия делает группировку еще более скрытной и устойчивой. В отличие от прошлых атак Lazarus, нацеленных на быстрый взлом банков, криптобирж и крупных корпораций, операция Phantom Circuit рассчитана на долгосрочное присутствие в инфраструктуре жертв. Это напоминает взлом Для просмотра ссылки Войдиили Зарегистрируйся , массовую атаку Для просмотра ссылки Войди или Зарегистрируйся и Для просмотра ссылки Войди или Зарегистрируйся в последующие годы.
Специалисты рекомендуют разработчикам усилить контроль за цепочкой поставок ПО, проверять источники скачиваемого кода, проверять код на предмет аномалий и использовать инструменты мониторинга сетевого трафика. Чем изощреннее становятся атаки, тем выше должны быть меры защиты.
Недавно мы писали о том, что Для просмотра ссылки Войдиили Зарегистрируйся Для просмотра ссылки Войди или Зарегистрируйся , применяющих необычный способ распространения вредоносного ПО. Злоумышленники имитируют процесс собеседований, чтобы заражать жертв вредоносными программами. Основной целью становятся разработчики, работающие в технологической, финансовой и криптовалютной сферах.
Группа северокорейских Для просмотра ссылки Войди
Для просмотра ссылки Войди
Основная цель — разработчики криптовалютных приложений, технологические компании и создатели открытого ПО. Метод атаки заключался в том, что Lazarus клонировала популярные open-source проекты и добавляла в них бэкдоры. Среди зараженных репозиториев обнаружены Codementor, CoinProperty, Web3 E-Store, а также менеджеры паролей на Python и другие приложения, связанные с криптовалютами и Web3.
После загрузки и использования вредоносного форка на компьютере разработчика активировался бэкдор, который позволял хакерам получать удаленный доступ, извлекать данные и передавать их в Северную Корею. Такой подход демонстрирует изменение тактики Lazarus Group разовых атак к долгосрочному стратегическому внедрению в цепочку поставок ПО.
Украденные данные включают учетные записи, токены аутентификации и пароли. Такие данные могут использоваться не только для последующих атак, но и для разведки в интересах правительства КНДР. По данным расследования, Lazarus перенаправляют украденную информацию на Dropbox, что затрудняет обнаружение и блокировку утечек.
Особенность атаки в том, что вредоносный код распространяется через GitLab — популярную облачную платформу для совместной разработки ПО. Это позволяет злоумышленникам внедрять вредоносные обновления, которые разработчики устанавливают автоматически, доверяя источнику. При этом, чтобы замаскировать свою активность, Lazarus использует VPN и промежуточные прокси-серверы, создавая ложное впечатление, что атака исходит из других стран.
Многоуровневая система маскировки Lazarus ( SecurityScorecard )
Такая стратегия делает группировку еще более скрытной и устойчивой. В отличие от прошлых атак Lazarus, нацеленных на быстрый взлом банков, криптобирж и крупных корпораций, операция Phantom Circuit рассчитана на долгосрочное присутствие в инфраструктуре жертв. Это напоминает взлом Для просмотра ссылки Войди
Специалисты рекомендуют разработчикам усилить контроль за цепочкой поставок ПО, проверять источники скачиваемого кода, проверять код на предмет аномалий и использовать инструменты мониторинга сетевого трафика. Чем изощреннее становятся атаки, тем выше должны быть меры защиты.
Недавно мы писали о том, что Для просмотра ссылки Войди
- Источник новости
- www.securitylab.ru
