هکرهای کره شمالی از طریق مرکز نرم افزار متن باز، توسعه‌دهندگان کریپتو را هدف قرار می‌دهند

یک شرکت امنیت سایبری آمریکایی می‌گوید هکرهای کره شمالی یکی از گسترده‌ترین کتابخانه‌های نرم‌افزاری جهان را به یک سیستم تحویل بدافزار تبدیل کرده‌اند. در یک گزارش هفته گذشته، محققان در سوکت یک شرکت امنیت زنجیره تأمین اعلام کرد که آنها پیدا کرده‌اند بیش از ۳۰۰ بسته کد مخرب به مخزن npm بارگذاری شده است یک مخزن مرکزی که توسط میلیون‌ها توسعه‌دهنده برای به اشتراک گذاشتن و نصب نرم‌افزارهای جاوااسکریپت استفاده می‌شود.

بسته‌ها—قطعه‌های کوچک کد قابل استفاده مجدد که در همه چیز از وب‌سایت‌ها تا برنامه‌های رمزارز مورد استفاده قرار می‌گیرند—به گونه‌ای طراحی شده بودند که بی‌خطر به نظر برسند. اما به محض دانلود، آنها بدافزاری نصب شده که قادر به سرقت رمزهای عبور، داده‌های مرورگر و کلیدهای کیف پول ارز دیجیتال است. ساکت گفت که این کمپین را ” مصاحبه واگیردار ، بخشی از یک عملیات پیچیده بود که توسط هکرهای حمایت‌شده توسط دولت کره شمالی که به عنوان استخدام‌کنندگان فناوری خود را معرفی می‌کنند تا توسعه‌دهندگانی را که در بلاک‌چین، وب ۳ و صنایع مرتبط فعالیت می‌کنند هدف قرار دهند.



چرا این مهم است: npm اساساً ستون فقرات وب مدرن است. به خطر انداختن آن به مهاجمان اجازه می‌دهد تا کدهای مخرب را در شمار زیادی از برنامه‌های پایین‌دست وارد کنند. کارشناسان امنیتی سال‌هاست که هشدار می‌دهند که چنین حملات “زنجیره تأمین نرم‌افزاری” از خطرناک‌ترین‌ها در فضای سایبری هستند زیرا به طور نامرئی از طریق به‌روزرسانی‌ها و وابستگی‌های قانونی گسترش می‌یابند.

مسیر به کره شمالی

محققان Socket کمپین را از طریق گروهی از نام‌های بسته شبیه به هم پیگیری کردند—نسخه‌های اشتباه املایی از کتابخانه‌های محبوب مانند بیان , دات‌ون‌ت , و کلاه ایمنی —و از طریق الگوهای کدی مرتبط با خانواده‌های بدافزاری که قبلاً شناسایی شده‌اند و به کره شمالی تعلق دارند معروف به بیورتیل و فِرِتِ نامرئی مهاجمان از اسکریپت‌های رمزگذاری‌شده “لودر” استفاده کردند که بارهای پنهان را به‌طور مستقیم در حافظه رمزگشایی و اجرا می‌کردند و ردپای کمی بر روی دیسک باقی می‌گذاشتند.

شرکت گفت به طور تقریبی ۵۰,۰۰۰ دانلود بسته‌های مخرب قبل از اینکه بسیاری از آنها حذف شوند، وجود داشتند، اگرچه برخی هنوز آنلاین هستند. هکرها همچنین از حساب‌های کاربری جعلی استخدام‌کننده در لینکدین یک تاکتیک هماهنگ با کمپین‌های سایبری جاسوسی پیشین DPRK که توسط مستند شده است. آژانس امنیت سایبری و امنیت زیرساخت‌های ایالات متحده (CISA) و قبلاً گزارش شده در رمزگشایی تحقیقات نشان می‌دهد که هدف نهایی، ماشین‌هایی بودند که دارای اعتبارنامه‌های دسترسی و کیف‌پول‌های دیجیتال بودند.

در حالی که یافته‌های ساکت با گزارش‌های سایر گروه‌های امنیتی و آژانس‌های دولتی که کره شمالی را به سرقت‌های ارز دیجیتال به ارزش میلیاردها دلار مرتبط می‌دانند، هم‌راستا است، تأیید مستقل هر جزئیات—مانند تعداد دقیق بسته‌های در معرض خطر—هنوز در انتظار است. با این حال، شواهد فنی و الگوهای توصیف‌شده با حوادث قبلی نسبت داده‌شده به پیونگ یانگ سازگار است.

مالک Npm، گیت‌هاب گفته است این مشکل می‌تواند بسته‌های مخرب را زمانی که کشف می‌شوند، حذف کند و در حال بهبود الزامات تأیید حساب است. اما الگو، به گفته محققان، مانند بازی «هرچند بزن» است: یک دسته از بسته‌های مخرب را برمی‌دارید و به زودی صدها بسته دیگر جایگزین آن می‌شوند.

برای توسعه‌دهندگان و استارتاپ‌های کریپتو، این قسمت نشان می‌دهد که زنجیره تأمین نرم‌افزار چقدر آسیب‌پذیر شده است. پژوهشگران امنیت از تیم‌ها خواستار هستند که هر فرمان “npm install” را به عنوان یک اجرای بالقوه کد در نظر بگیرید. قبل از ادغام وابستگی‌ها به پروژه‌ها، آنها را اسکن کنید و از ابزارهای کنترل خودکار برای شناسایی بسته‌های دستکاری‌شده استفاده کنید. قدرت اکوسیستم منبع باز—باز بودن آن—زمانی که دشمنان تصمیم به تسلیح کردن آن می‌گیرند، بزرگ‌ترین نقطه ضعف آن باقی می‌ماند.