BTC $0 0%
ETH $0 0%
BNB $0 0%
SOL $0 0%
XRP $0 0%
ADA $0 0%
TON $0 0%
DOT $0 0%
DOGE$0 0%
SHIBA INU $0 0%
LTC $0 0%
XMR $0 0%
BTC $0 0%
ETH $0 0%
BNB $0 0%
SOL $0 0%
XRP $0 0%
ADA $0 0%
TON $0 0%
DOT $0 0%
DOGE$0 0%
SHIBA INU $0 0%
LTC $0 0%
XMR $0 0%
Adatbiztonság Kriptogazdaság

A Lazarus Group ezúttal a Solana és Exodus tárcákat vette célba

TK, profilkép TK
2025. március 13. 17:38
A Lazarus Group ezúttal a Solana és Exodus tárcákat vette célba, kiemelt kép
     

Az észak-koreai Lazarus Group – amely a Bybit 1,5 milliárd dolláros hackertámadása mögött áll – ezúttal a kriptofejlesztőket veszi célba npm csomagokon keresztül, ellopva a tárcafájlokat és a hitelesítő adatokat.

Az Észa-Korea által államilag támogatott hackercsoport újabb kifinomult támadást indított, ezúttal az npm ökoszisztémát kihasználva, hogy beszivárogjon a fejlesztői környezetbe és ellopja a kriptotárcákkal kapcsolatos adatokat.

Ahhoz, hogy megértsük a támadások működését, először érdemes tisztázni, mi is az az npm. Az npm (Node Package Manager) egy olyan csomagkezelő, amely lehetővé teszi a JavaScript csomagok keresését, telepítését, frissítését, valamint az adott projekt kezelését.

A Socket.Dev biztonsági kutatói hat új rosszindulatú csomagot fedeztek fel, amelyek mindegyikének célja a BeaverTail malware telepítése. A vírus kifejezetten az id.json-t, a Solana tárcák kulcstároló fájlját keresi, ami lehetővé teszi a Lazarus Group számára, hogy közvetlen hozzáférést szerezzen a pénzeszközökhöz. A malware a Solana tárcák adatai mellett az exodus.wallet fájlt is keresi, amellyel a hackerek megcsapolhatják az Exodus tárcákat.

Ezen túlmenően a kártevő átkutatja a Chrome, Brave és Firefox profilokat, és olyan bejelentkezési adatokat szerez meg, amelyek megkönnyíthetik a további hackertámadásokat.

Így működnek a Solana és Exodus tárcákat célzó támadások

A csoport stratégiája azért is lehet ennyire sikeres, mivel elképesztően megtévesztő és legitimnek tűnő csomagokba rejti a vírusokat. A rosszindulatú npm csomagok szinte minden szempontból ugyanúgy néznek ki, mint a legnépszerűbb ilyen fájlok, a hamis GitHub-tárhelyek pedig tovább növelik a hitelességet.

A mostani támadások nagyon hasonlítanak a korábban dokumentált Lazarus műveletekre. A rendszerben a rosszindulatú szoftver a helyi könyvtárakat vizsgálja kriptotárca-adatok és érzékeny hitelesítő adatok után, különösen a Solana és Exodus tárcaadatokra fókuszálva. Az ellopott adatok ezután egy, a Lazarus Group által ellenőrzött szerverre kerülnek, így a támadók közvetlenül hozzáférhetnek az áldozatok pénzeszközeihez.

A perzisztencia fenntartása érdekében a szkript letölti és telepíti az InvisibleFerret nevű vírust is. Ez egy olyan szoftver, amely teljesen láthatatlan a felhasználók számára, és amelyet arra terveztek, hogy a hackerek még akkor is hozzáférjenek az adott számítógéphez, amikor az első vírust – ebben az esetben a BeaverTail-t – már észlelték és eltávolították.

Érdemes megjegyezni, hogy a kriptotörténelem legnagyobb hackertámadása a Lazarus Grouphoz köthető. Az észak-koreai hackerek 2025. február 21-én ugyanis közel másfél milliárd dollár értékű Ethereumot ETH Price ETH Price loptak el a Bybit kriptotőzsdéről. Emellett a jelentések szerint 2025 februárjában közel 20-szorosára nőttek a kriptokárok, különösen a centralizált ökoszisztémákon belül, ami jól mutatja, hogy továbbra is nagyon ébernek kell lenni a kriptoszektorban.

Címkék:

hackerek Lazarus Group