Lazarus Group, un gruppo di cyber criminali collegato alla Corea del Nord, colpisce ancora. Questa volta il principale obiettivo degli attacchi hacker sono gli sviluppatori e i proprietari di criptovalute.

A rivelarlo è il team Strike di SecurityScorecard, azienda leader globale nelle valutazioni sulla cybersicurezza.

L’ultimo report pubblicato riferisce infatti che il gruppo sta inserendo un malware particolarmente evoluto – denominato marstech1 – nei repository GitHub. Questa piattaforma di hosting permette ai programmatori, e non solo, di archiviare e gestire varie versioni di progetti, file, codici permettendone la condivisione.

Ed è proprio questo l’obiettivo del gruppo Lazarus: usare la piattaforma per infiltrare il codice dannoso nei progetti delle vittime.

La minaccia ai portafogli di criptovalute

Più nel dettaglio, secondo quanto riferito dal report dei ricercatori di sicurezza, il malware prende di mira i portafogli di criptovalute Exodus e Atomic su Linux, MacOS e Windows “nel tentativo di analizzare e leggere il contenuto dei file o estrarre i metadati“.

L’obiettivo finale di questa strategia, però, è quello di iniettare payload furtivi che possono intercettare le transazioni.

Si tratta di un codice malevolo progettato per intercettare transazioni nei portafogli di criptovalute senza che l’utente o i sistemi di sicurezza se ne accorgano. I criminali informatici possono usare tecniche avanzate per nascondere il payload, ad esempio tramite crittografia, offuscamento del codice o sfruttando vulnerabilità del sistema.

Anche questa voltagli hacker di Lazarus Group sembrano essere riusciti a modulare i loro sistemi di attacco per renderli più efficienti e pericolosi. Ciò risulta ancora più evidente considerando che questa campagna di attacco sembra essere ancora attiva, dopo aver colpito già 233 vittime negli Stati Uniti, in Europa e in Asia.

Ciò che rende ancora più preoccupante l’attacco del gruppo nordcoreano, poi, è anche il metodo di diffusione del malware. L’utilizzo di piattaforme che permettono la condivisione dei codici di programmazione rappresenta un rischio a lungo termine per gli ambienti di sviluppo software, considerando che gli sviluppatori possono contaminare con il malware i progetti a cui poi si appoggiano altre decine e decine di persone.

Misure di sicurezza

Queste le misure di sicurezza suggerite da SecurityScorecard:

• Verificare le fonti dei codici: clonare i repository solo da contributori noti e verificati;
• Monitorare il traffico di rete;
• Implementare strumenti di sicurezza in grado di rilevare script offuscati;
• Controllare regolarmente eventuali modifiche inattese nelle librerie di terze parti.

Per contrastare questi attacchi, come riferito da Ryan Sherstobitoff – SVP di Threat Research & Intelligence di SecurityScorecard – “è imperativo che le organizzazioni e gli sviluppatori adottino misure di sicurezza proattive, monitorino costantemente le attività della catena di fornitura e integrino soluzioni avanzate di threat intelligence per mitigare il rischio di attacchi sofisticati basati su impianti e orchestrati da attori di minacce come il Lazarus Group”.