کمیته رکن چهارم – پژوهشگران امنیت سایبری از شناسایی گونهای جدید از کارزار «جذبکننده جعلی» خبر دادهاند که توسعهدهندگان JavaScript و Python فعال در حوزه رمزارز را هدف قرار داده و از بستههای مخرب در npm و PyPI برای استقرار تروجان دسترسی از راه دور استفاده میکند.
به گزارش کمیته رکن چهارم، این عملیات که از اردیبهشت ۱۴۰۴ آغاز شده، با نام «Graphalgo» شناخته میشود و تاکنون ۱۹۲ بسته مخرب مرتبط با آن شناسایی شده است. مهاجمان با ایجاد شرکتهای جعلی در حوزه بلاکچین و معاملات رمزارزی، آگهیهای شغلی در پلتفرمهایی مانند LinkedIn، Facebook و Reddit منتشر میکنند و از متقاضیان میخواهند برای ارزیابی مهارت خود، پروژهای را اجرا و اشکالزدایی کنند.
اجرای این پروژهها موجب نصب وابستگیهای مخرب از مخازن ظاهراً معتبر میشود. این بستهها بهعنوان دانلودکننده عمل کرده و در نهایت یک تروجان دسترسی از راه دور (RAT) را روی سیستم قربانی مستقر میکنند. در یکی از نمونهها، بستهای با نام «bigmathutils» که هزاران بار دانلود شده بود، پس از انتشار نسخهای جدید به محموله مخرب آلوده و سپس منسوخ اعلام شد.
بررسیها نشان میدهد مخازن GitHub مرتبط با این پروژهها فاقد کد مخرب مستقیم هستند و آلودگی از طریق وابستگیهای میزبانیشده در npm و PyPI انجام میشود. این RAT قادر است فرایندهای در حال اجرا را فهرست کند، فرمانهای دلخواه را از سرور فرمان و کنترل دریافت و اجرا نماید، فایلها را استخراج کرده و محمولههای اضافی مستقر کند. همچنین این بدافزار بررسی میکند که آیا افزونه MetaMask روی مرورگر نصب شده است یا خیر؛ نشانهای از تمرکز بر سرقت داراییهای رمزارزی.
پژوهشگران اعلام کردهاند که بدافزار در نسخههای نوشتهشده با JavaScript، Python و VBS مشاهده شده و ارتباط با سرور C2 از طریق توکن محافظت میشود. ارزیابیها با اطمینان متوسط تا بالا این کارزار را به گروه «لازاروس» منتسب میکند؛ گروهی که پیشتر نیز در عملیاتهای مشابه با تمرکز بر رمزارز فعال بوده است.
به توسعهدهندگانی که احتمال میدهند این بستهها را نصب کردهاند توصیه شده است تمامی گذرواژهها و توکنهای دسترسی را تغییر داده و سیستمهای خود را بهطور کامل بازبینی و در صورت لزوم مجدداً نصب کنند.
