近年来,网络安全面临日益严峻的挑战,尤其是针对加密货币和区块链技术的攻击手段层出不穷。近日的消息显示,朝鲜政府通过网络犯罪活动,特别是针对Node Package Manager(简称NPM)注册中心的供应链攻击,显露出其在加密领域的恶意行为。这一事件引起了安全专家的广泛关注,值得我们深入探讨。 首先,朝鲜的网络犯罪组织,尤其是被称为“拉撒路集团”的黑客组织,一直以来都以其高超的网络攻击手段闻名。它们的主要目标是从敌对国家及经济中获取资金。而最近的“Marstech1”植入程序就是其最新工具,该程序通过隐藏在GitHub代码库和NPM软件包中,潜伏在加密开发者的项目中。
根据安全研究公司SecurityScorecard的调查发现,迄今为止,已经确认233名受害者在安装了这一新型植入程序后受到了影响。这表明该攻击已经成功渗透到一些开发者的工作流程中,威胁到了他们的资产安全。此外,该植入程序能够有效规避静态和动态分析,使得开发者在使用这些受影响的软件包时,难以察觉其潜在的危险性。 “Marstech1”植入程序的能力主要集中在针对加密钱包,支持Windows、macOS和Linux系统。它会扫描被攻击的系统,寻找目标钱包的相关信息,读取其内容并提取元数据。这种特性使得其对加密领域开发者的威胁更为严重。
针对这一攻击手法,SecurityScorecard的威胁研究副总裁Ryan Sherstobitoff表示,朝鲜的这些攻击活动展现出了其在网络战中的持续进化和适应能力。例如,Marstech1采用了多重混淆技术,进一步增强了其隐蔽性。这种技术包括控制流平坦化、自我调用函数、随机变量和函数名称的使用、Base64字符串编码,以及反调试和抗篡改的检查,这都使得植入程序难以被检测到。 该攻击的实施还涉及到将恶意代码嵌入到GitHub账号“SuccessFriend”下,这一账号与拉撒路集团的活动存在关联。自2024年7月起,该账号开始在多个项目中发布真正的代码,但到了11月,它逐渐转变为恶意软件的开发。在这一过程中,朝鲜不仅显示了其在技术上的灵活性,同时也利用了开源社区的开放性和合作性为其服务。
此外,该攻击还指出了加密开发者所面临的供应链风险。对于在NPM上工作的Web3开发者来说,任何被感染的代码都可能最终影响到更广泛的用户群体。这就是所谓的“供应链中毒”,一旦被引入到项目中,将会对数以万计的用户带来潜在风险。因此,开发者必须在项目开发的早期阶段,就启动全面的安全措施,确保使用的每一个软件包都是安全的。 朝鲜网络攻击的目标并不仅限于加密开发者。Microsoft最近发布的相关报告显示,另一个朝鲜网络团队“金苏基”也开始采用新策略,伪装成韩国政府官员,通过建立与受害者的信任关系,诱使他们运行含有恶意代码的PowerShell程序。
这一示例进一步凸显了朝鲜在网络攻击策略上日益复杂化的趋势,同时也提醒我们在日常网络活动中的警惕性。 为保护自身安全,开发者和组织应采取主动的安全措施。首先,定期监控供应链活动以检测任何潜在的问题是至关重要的。同时,集成高级威胁情报解决方案,帮助发现并识别潜在的网络攻击。此外,加强对开发团队的安全培训,让他们意识到潜在的风险和攻击手段,也可以显著提高项目的安全性。 随着网络威胁形势的不断发展演变,大家有必要了解新的技术和手段,以保护自己和他人的资产安全。
朝鲜通过利用Web3技术的开放性和发展迅速性,给网络安全带来了新的挑战。只有通过不断学习与适应,我们才能有效抵御这些日益复杂的网络攻击。
