Μια σημαντική ανακάλυψη από τη Microsoft αποκάλυψε μια νέα επιχείρηση κυβερνοεπίθεσης που συνδέεται με τη βορειοκορεατική ομάδα hacking Sapphire Sleet, γνωστή και ως BlueNoroff. Η συγκεκριμένη επίθεση επικεντρώθηκε στην αλυσίδα εφοδιασμού του λογισμικού Mastra AI και επηρέασε περισσότερα από 140 πακέτα npm, γεγονός που υπογραμμίζει τη σοβαρότητα των απειλών στον τομέα της τεχνολογίας.
Η Microsoft δήλωσε ότι οι εισβολείς επιτέθηκαν μέσω ενός λογαριασμού συντήρησης npm, εκμεταλλευόμενοι κενά για να διανέμουν κακόβουλες ενημερώσεις. “Είμαστε βέβαιοι ότι αυτή η δραστηριότητα μπορεί να αποδοθεί στον Sapphire Sleet, μια κρατική ομάδα στη Βόρεια Κορέα που στοχεύει κυρίως τον χρηματοπιστωτικό τομέα”, ανέφερε η εταιρεία σε σχετική της ανακοίνωση.
Η αρχή της εισβολής προήλθε από την παράνομη πρόσβαση στον λογαριασμό npm “ehindero”, ο οποίος είναι υπεύθυνος για τη συντήρηση του πακέτου Mastra. Οι hackers κατάφεραν να δημοσιεύσουν κακόβουλες ενημερώσεις, προσθέτοντας μια επικίνδυνη εξάρτηση με τίτλο “easy-day-js”, που έμοιαζε επικίνδυνα με την δημοφιλή βιβλιοθήκη JavaScript, dayjs.
Αυτή η εξάρτηση, όταν εγκαταστάθηκε, ενεργοποίησε ένα script που εγκατέστησε ένα dropper κακόβουλου λογισμικού στις συσκευές των στόχων, με σκοπό την κλοπή ευαίσθητων στοιχείων, όπως διαπιστευτήρια, API keys και κρυπτονομίσματα.
“Μόλις εγκατασταθεί, easy-day-js μπορεί να εκτελέσει ένα script που αποτυγχάνει να επαληθεύσει τα πιστοποιητικά Transport Layer Security (TLS), προχωρώντας σε συνδέσεις με servers ελέγχου και στην εγκατάσταση επιπρόσθετου κακόβουλου λογισμικού”, εξηγεί η Microsoft.
Απειλή για τις ψηφιακές περιουσίες: Το κακόβουλο λογισμικό κλοπής
Το κακόβουλο λογισμικό που εγκαταστάθηκε είναι ένα πρόγραμμα κλοπής πληροφοριών που μπορεί να στοχεύσει σε Windows, Linux και macOS. Συλλέγει δεδομένα για τον υπολογιστή του χρήστη, όπως ιστορικό του προγράμματος περιήγησης και εγκατεστημένες εφαρμογές, καθώς και ανίχνευση πορτοφολιών κρυπτονομισμάτων, όπως MetaMask και Binance Wallet.
Η επιτυχής επίθεση χρησιμοποίησε ποικιλία επιθέσεων που διαφέρουν ανάλογα με το λειτουργικό σύστημα. Για παράδειγμα, στα Windows, εκμεταλλεύτηκε κλειδιά μητρώου, ενώ σε MacOS χρησιμοποίησε LaunchAgents.
Πηγή: Microsoft
Η Microsoft παρατήρησε ότι τα συστήματα που επηρεάστηκαν επικοινωνούσαν με διακομιστές εντολών και ελέγχου, χρησιμοποιώντας τακτικές που σχετίζονται με προηγούμενες επιθέσεις από την ίδια ομάδα. Αυτές περιλαμβάνουν την ανάπτυξη backdoor μέσω PowerShell και κακόβουλες υπηρεσίες Windows, που αξιοποιούν δικαιώματα υψηλού επιπέδου.
Ο Sapphire Sleet είναι μια κρατική ομάδα με αναγνωρίσιμη τακτική κλοπής κρυπτονομισμάτων, καθώς και απάτες γύρω από ψεύτικες προσφορές εργασίας και συμβιβασμούς αλυσίδας εφοδιασμού, καθιστώντας τη μια συνεχόμενη απειλή για πολλούς χρήστες και οργανισμούς.
Η Microsoft μετρά επίσης την ομάδα ως υπεύθυνη για μια άλλη επίθεση στην αλυσίδα εφοδιασμού npm του πελάτη HTTP Axios τον Απρίλιο του 2026, αποδεικνύοντας τη συνεχιζόμενη φιλοδοξία της
Οι ομάδες ασφαλείας καταγράφουν το 54% των επιτυχημένων επιθέσεων και ειδοποιούν μόλις το 14%. Τα υπόλοιπα κινούνται στο περιβάλλον σας αόρατα.
Η λευκή βίβλος Picus δείχνει πώς η προσομοίωση παραβίασης και επίθεσης δοκιμάζει τους κανόνες SIEM και EDR σας, έτσι ώστε οι απειλές να σταματήσουν να ξεφεύγουν από τον εντοπισμό.
