Isang kumpanya ng cybersecurity<\/strong> sa U.S. ang nagsabi na ang mga hacker mula sa Hilagang Korea<\/strong> ay ginawang sistema ng paghahatid ng malware<\/strong> ang isa sa mga pinakaginagamit na software library sa mundo. Sa isang ulat noong nakaraang linggo, sinabi ng mga mananaliksik mula sa Socket<\/strong>, isang kumpanya na nag-specialize sa seguridad ng supply chain, na natagpuan nila ang higit sa 300 nakakapinsalang package<\/strong> ng code na na-upload sa npm registry<\/strong>, isang sentral na imbakan na ginagamit ng milyon-milyong developer upang magbahagi at mag-install ng JavaScript software.<\/p>\n Ang mga package\u2014mga maliit na piraso ng reusable code na ginagamit sa lahat mula sa mga website hanggang sa mga crypto application\u2014ay dinisenyo upang magmukhang walang panganib<\/strong>. Ngunit sa sandaling ma-download, nag-install ito ng malware<\/strong> na kayang magnakaw ng mga password, data ng browser, at mga susi ng cryptocurrency wallet. Sinabi ng Socket na ang kampanya, na tinatawag nilang \u201cContagious Interview,\u201d<\/strong> ay bahagi ng isang sopistikadong operasyon na pinapatakbo ng mga hacker na sinusuportahan ng estado ng Hilagang Korea na nagpapanggap bilang mga tech recruiter upang targetin ang mga developer na nagtatrabaho sa blockchain, Web3, at mga kaugnay na industriya.<\/p>\n Bakit ito mahalaga:<\/strong> Ang npm ay sa katunayan ang gulugod ng modernong web. Ang pagkompromiso dito ay nagpapahintulot sa mga umaatake na ipasok ang nakakapinsalang code sa napakaraming downstream na apps. Nagbabala ang mga eksperto sa seguridad sa loob ng maraming taon na ang mga ganitong \u201csoftware supply-chain\u201d<\/strong> na pag-atake ay kabilang sa mga pinaka-mapanganib sa cyberspace dahil kumakalat ito nang hindi nakikita sa pamamagitan ng mga lehitimong update at dependencies.<\/p>\n Sinubaybayan ng mga mananaliksik ng Socket ang kampanya sa pamamagitan ng isang grupo ng mga pangalan ng package na magkapareho\u2014mga maling spelling ng mga sikat na library tulad ng express<\/strong>, dotenv<\/strong>, at hardhat<\/strong>\u2014at sa pamamagitan ng mga pattern ng code na nauugnay sa mga naunang natukoy na pamilya ng malware mula sa Hilagang Korea na kilala bilang BeaverTail<\/strong> at InvisibleFerret<\/strong>.<\/p>\n Gumamit ang mga umaatake ng naka-encrypt na \u201cloader\u201d scripts<\/strong> na nag-decrypt at nag-execute ng mga nakatagong payloads nang direkta sa memorya, na nag-iiwan ng kaunting bakas sa disk. Sinabi ng kumpanya na humigit-kumulang 50,000 na pag-download<\/strong> ng mga nakakapinsalang package ang naganap bago marami ang natanggal, kahit na ang ilan ay nananatiling online.<\/p>\n Gumamit din ang mga hacker ng mga pekeng LinkedIn recruiter accounts<\/strong>, isang taktika na naaayon sa mga naunang kampanya ng cyber-espionage ng DPRK na naitala ng U.S. Cybersecurity and Infrastructure Security Agency (CISA) at naunang naiulat sa Decrypt<\/strong>. Ang mga pangunahing target, ayon sa mga imbestigador, ay mga makina na may hawak na access credentials at digital wallets.<\/p>\n Habang ang mga natuklasan ng Socket ay tumutugma sa mga ulat mula sa iba pang mga grupo ng seguridad at mga ahensya ng gobyerno na nag-uugnay sa Hilagang Korea sa mga pagnanakaw ng cryptocurrency na umaabot sa bilyun-bilyong dolyar, ang independiyenteng beripikasyon ng bawat detalye\u2014tulad ng eksaktong bilang ng mga nakompromisong package\u2014ay nananatiling nakabinbin. Gayunpaman, ang teknikal na ebidensya at mga pattern na inilarawan ay tumutugma sa mga naunang insidente na iniuugnay sa Pyongyang<\/strong>.<\/p>\n Sinabi ng may-ari ng npm, GitHub<\/strong>, na tinatanggal nito ang mga nakakapinsalang package kapag natuklasan at pinabubuti ang mga kinakailangan sa pag-verify ng account. Ngunit ayon sa mga mananaliksik, ang pattern ay parang whack-a-mole<\/strong>: alisin ang isang set ng mga nakakapinsalang package, at daan-daang iba pa ang agad na pumapalit.<\/p>\n Para sa mga developer at crypto startups, ang insidente ay nagpapakita kung gaano kahina ang naging software supply chain. Pinapayuhan ng mga mananaliksik sa seguridad ang mga koponan na ituring ang bawat \u201cnpm install\u201d<\/strong> na utos bilang potensyal na code execution, i-scan ang mga dependencies bago ito isama sa mga proyekto, at gumamit ng mga automated vetting tools upang mahuli ang mga na-manipulang package. Ang lakas ng open-source ecosystem<\/strong>\u2014ang pagiging bukas nito\u2014ay nananatiling pinakamalaking kahinaan kapag nagpasya ang mga kalaban na gawing sandata ito.<\/p>\n","protected":false},"excerpt":{"rendered":" Cybersecurity Threat from North Korea Isang kumpanya ng cybersecurity sa U.S. ang nagsabi na ang mga hacker mula sa Hilagang Korea ay ginawang sistema ng paghahatid ng malware ang isa sa mga pinakaginagamit na software l…<\/p>\n","protected":false},"author":3,"featured_media":14252,"comment_status":"closed","ping_status":"open","sticky":false,"template":"","format":"standard","meta":{"footnotes":""},"categories":[42,47],"tags":[4225,7553,5144,4313,9629,4391,4389],"class_list":["post-14253","post","type-post","status-publish","format-standard","has-post-thumbnail","hentry","category-bitcoin","category-hack","tag-bitcoin","tag-dprk","tag-github","tag-hack","tag-javascript","tag-north-korea","tag-web3"],"yoast_head":"\nNature of the Malware<\/h2>\n
Importance of npm Registry<\/h2>\n
Attack Methods<\/h2>\n
Response and Recommendations<\/h2>\n