Kuzey Kore bağlantılı Lazarus Grup, yeni bir tedarik zinciri saldırısıyla kripto geliştiricilerini hedef aldı. Güvenlik araştırmacıları, grubun npm (Node Package Manager) ekosistemini kullanarak zararlı yazılımlar yaydığını ve cüzdan dosyalarını ele geçirdiğini tespit etti.
Geliştiricileri nasıl hedef alıyorlar?
Lazarus, bu saldırıda popüler yazılım kütüphanelerine benzeyen sahte npm paketleri oluşturdu. Bu paketler, geliştiriciler tarafından fark edilmeden projelere entegre edilerek zararlı yazılımların sistemlere sızmasını sağladı. Sahte paketler şimdiye kadar 330’dan fazla kez indirildi ve her biri BeaverTail adlı kötü amaçlı yazılımı yükleyerek InvisibleFerret adlı bir arka kapı mekanizmasını devreye soktu.
Bu yazılım, sistem bilgilerini ve oturum verilerini toplamanın yanı sıra Solana ve Exodus cüzdanlarına erişim sağlamak için özel olarak tasarlandı. Özellikle id.json dosyalarını tarayarak Solana cüzdanlarına, exodus.wallet dosyalarını ele geçirerek Exodus cüzdanlarına erişim sağlıyor. Bunlara ek olarak Chrome, Brave ve Firefox gibi tarayıcılardaki oturum bilgilerini ve giriş kimliklerini çalarak daha büyük güvenlik ihlallerine zemin hazırlıyor.
Saldırı nasıl gerçekleşiyor?
Lazarus’un bu saldırıları açık kaynak ekosistemlerine ve yazılım geliştirme süreçlerine dair derin bir bilgiye sahip olduğunun bir göstergesi. Grup, güvenilir yazılım bağımlılıklarını taklit eden npm paketleri ve sahte GitHub depoları oluşturarak geliştiricileri kandırıyor.
Sisteme sızdıktan sonra kötü amaçlı yazılım, cüzdan dosyaları ve giriş kimliklerini tarayarak Lazarus’un kontrol ettiği sunuculara aktarıyor. Aynı zamanda InvisibleFerret’a indirerek saldırganların uzun vadeli erişimini sürdürüyor. Çok katmanlı kötü amaçlı yazılım yapısı sayesinde ilk tespit edildiğinde dahi sistemden tamamen temizlenmesi zorlaşıyor.
Saldırıların büyük çoğunluğu BNB Chain ve Ethereum üzerinde gerçekleşirken toplam kayıpların %73’ü merkezi borsalardan geldi.
Lazarus’un doğrudan borsa saldırılarından, geliştirici ortamlarına sızmaya yönelmesi, saldırı yöntemlerinin daha sofistike hale geldiğini gösteriyor. Yazılım geliştiricilerinin, sahte npm paketlerine karşı dikkatli olmaları ve güvenlik önlemlerini sıkılaştırmaları kritik önem taşıyor.
