گروه هکری لازاروس، وابسته به کره شمالی، با استفاده از یک ایمپلنت جاوااسکریپت جدید به نام مارستک۱ (Marstech1)، حملات هدفمندی را علیه توسعهدهندگان نرمافزار آغاز کرده است. این کمپین جدید که “عملیات آشوب مارستک” نام گرفته، نشاندهنده تکامل تاکتیکهای این گروه هکری مشهور و خطرناک است.
مارستک۱ از طریق مخازن گیتهاب و بستههای NPM آلوده شده پخش میشود. این بدافزار با استفاده از تکنیکهای پیشرفته مبهمسازی، قادر است از اکثر روشهای تشخیص بدافزار فرار کند. برخی از این تکنیکها عبارتند از:
-
مسطحسازی جریان کنترل و توابع خود-فراخوان
-
نامگذاری تصادفی متغیرها و توابع
-
رمزگذاری رشتهها با Base64
-
تکنیکهای ضد دیباگ
-
تقسیم و ترکیب مجدد رشتهها
هدف اصلی این حمله، سرقت اطلاعات کیف پولهای ارز دیجیتال است. مارستک۱ به طور خاص کیف پولهای MetaMask، Exodus و Atomic را در سیستمعاملهای ویندوز، مک و لینوکس هدف قرار میدهد. این بدافزار با دستکاری فایلهای پیکربندی مرورگر، قادر به رهگیری تراکنشهای ارز دیجیتال است.
تا به امروز، بیش از ۲۳۳ قربانی در آمریکا، اروپا و آسیا شناسایی شدهاند. با توجه به ماهیت این حمله که از طریق بستههای نرمافزاری متنباز صورت میگیرد، احتمال افزایش تعداد قربانیان بسیار بالاست.
این حمله نشان میدهد که حتی منابع به ظاهر معتبر مانند گیتهاب و NPM نیز میتوانند ابزاری برای پخش بدافزار باشند. توسعهدهندگانی که از این بستههای آلوده استفاده کنند، ناخواسته بدافزار را در پروژههای خود گنجانده و آن را به میلیونها کاربر نهایی منتقل میکنند.
برای محافظت در برابر این تهدید، توسعهدهندگان باید:
-
منابع کد را به دقت بررسی کنند و تنها از مخازن تأیید شده استفاده نمایند.
-
ترافیک شبکه را برای اتصالات مشکوک به سرورهای کنترل و فرمان (C2) مانیتور کنند.
-
از ابزارهای امنیتی قوی که قادر به تشخیص اسکریپتهای مبهمسازی شده هستند، استفاده کنند.
-
وابستگیهای پروژه را به طور منظم بررسی و هرگونه تغییر غیرمنتظره را شناسایی کنند.
حمله مارستک۱ نشاندهنده تکامل مداوم تهدیدات سایبری است. این حمله همچنین اهمیت امنیت در زنجیره تأمین نرمافزار را برجسته میکند. توسعهدهندگان و سازمانها باید هوشیاری خود را افزایش داده و اقدامات امنیتی قویتری را اتخاذ کنند تا از خود و کاربران نهایی در برابر این گونه تهدیدات پیشرفته محافظت نمایند.
برای کسب اطلاعات بروز با ما در بیسلند همراه باشید.
-
مسطحسازی جریان کنترل و توابع خود-فراخوان
-
نامگذاری تصادفی متغیرها و توابع
-
رمزگذاری رشتهها با Base64
-
تکنیکهای ضد دیباگ
-
تقسیم و ترکیب مجدد رشتهها
هدف اصلی این حمله، سرقت اطلاعات کیف پولهای ارز دیجیتال است. مارستک۱ به طور خاص کیف پولهای MetaMask، Exodus و Atomic را در سیستمعاملهای ویندوز، مک و لینوکس هدف قرار میدهد. این بدافزار با دستکاری فایلهای پیکربندی مرورگر، قادر به رهگیری تراکنشهای ارز دیجیتال است.
تا به امروز، بیش از ۲۳۳ قربانی در آمریکا، اروپا و آسیا شناسایی شدهاند. با توجه به ماهیت این حمله که از طریق بستههای نرمافزاری متنباز صورت میگیرد، احتمال افزایش تعداد قربانیان بسیار بالاست.
این حمله نشان میدهد که حتی منابع به ظاهر معتبر مانند گیتهاب و NPM نیز میتوانند ابزاری برای پخش بدافزار باشند. توسعهدهندگانی که از این بستههای آلوده استفاده کنند، ناخواسته بدافزار را در پروژههای خود گنجانده و آن را به میلیونها کاربر نهایی منتقل میکنند.
برای محافظت در برابر این تهدید، توسعهدهندگان باید:
-
منابع کد را به دقت بررسی کنند و تنها از مخازن تأیید شده استفاده نمایند.
-
ترافیک شبکه را برای اتصالات مشکوک به سرورهای کنترل و فرمان (C2) مانیتور کنند.
-
از ابزارهای امنیتی قوی که قادر به تشخیص اسکریپتهای مبهمسازی شده هستند، استفاده کنند.
-
وابستگیهای پروژه را به طور منظم بررسی و هرگونه تغییر غیرمنتظره را شناسایی کنند.
حمله مارستک۱ نشاندهنده تکامل مداوم تهدیدات سایبری است. این حمله همچنین اهمیت امنیت در زنجیره تأمین نرمافزار را برجسته میکند. توسعهدهندگان و سازمانها باید هوشیاری خود را افزایش داده و اقدامات امنیتی قویتری را اتخاذ کنند تا از خود و کاربران نهایی در برابر این گونه تهدیدات پیشرفته محافظت نمایند.
برای کسب اطلاعات بروز با ما در بیسلند همراه باشید.
این حمله نشان میدهد که حتی منابع به ظاهر معتبر مانند گیتهاب و NPM نیز میتوانند ابزاری برای پخش بدافزار باشند. توسعهدهندگانی که از این بستههای آلوده استفاده کنند، ناخواسته بدافزار را در پروژههای خود گنجانده و آن را به میلیونها کاربر نهایی منتقل میکنند.
برای محافظت در برابر این تهدید، توسعهدهندگان باید:
-
منابع کد را به دقت بررسی کنند و تنها از مخازن تأیید شده استفاده نمایند.
-
ترافیک شبکه را برای اتصالات مشکوک به سرورهای کنترل و فرمان (C2) مانیتور کنند.
-
از ابزارهای امنیتی قوی که قادر به تشخیص اسکریپتهای مبهمسازی شده هستند، استفاده کنند.
-
وابستگیهای پروژه را به طور منظم بررسی و هرگونه تغییر غیرمنتظره را شناسایی کنند.
حمله مارستک۱ نشاندهنده تکامل مداوم تهدیدات سایبری است. این حمله همچنین اهمیت امنیت در زنجیره تأمین نرمافزار را برجسته میکند. توسعهدهندگان و سازمانها باید هوشیاری خود را افزایش داده و اقدامات امنیتی قویتری را اتخاذ کنند تا از خود و کاربران نهایی در برابر این گونه تهدیدات پیشرفته محافظت نمایند.
برای کسب اطلاعات بروز با ما در بیسلند همراه باشید.
-
منابع کد را به دقت بررسی کنند و تنها از مخازن تأیید شده استفاده نمایند.
-
ترافیک شبکه را برای اتصالات مشکوک به سرورهای کنترل و فرمان (C2) مانیتور کنند.
-
از ابزارهای امنیتی قوی که قادر به تشخیص اسکریپتهای مبهمسازی شده هستند، استفاده کنند.
-
وابستگیهای پروژه را به طور منظم بررسی و هرگونه تغییر غیرمنتظره را شناسایی کنند.
