Lazarus Group 利用基于 React 的管理平台进行网络攻击

关键要点

• Lazarus Group 使用复杂的网络管理平台来管理其指挥控制操作。
• 该小组利用 React 和 Node.js 构建的系统进行数据集中管理。
• 操作“幽灵电路（Operation Phantom Circuit）”针对全球加密货币公司，采用合法软件包中的恶意代码。
• 攻击活动涉及 1,639 名受害者，主要集中在印度、巴西和法国。
• 小组还利用 LinkedIn 进行社交工程并掩饰其活动。

LazarusGroup被报道利用了一种高级的网络管理平台来监督其指挥控制操作，根据SecurityScorecard的STRIKE团队的报告，该北朝鲜国家支持的威胁行为者在每个 C2 服务器上使用基于 React 和 Node.js 的系统，以实现对被盗数据的集中管理、观察受影响主机以及进行有效的有效载荷分发。 据传，该C2基础设施托管在斯塔克工业（Stark Industries）服务器上。

该平台与“幽灵电路（Operation PhantomCircuit）”相关，该行动是一场针对全球加密货币公司和开发者的供应链攻击。在此次活动中，Lazarus将隐晦的后门嵌入合法的 Node.js软件包中，诱使开发者在进行虚假工作相关测试时执行恶意代码。该活动从2024年9月持续到2025年1月，共有1,639名受害者受到影响，其中最高集中在印度、巴西和法国。

研究人员认为该管理面板已用于Lazarus在支持北朝鲜广泛的中的网络间谍行动。该小组还利用LinkedIn进行社交工程，并使用Astrill VPN和北朝鲜的IP地址来掩盖其活动。

以上信息突出展示了Lazarus Group的复杂攻击手法和其针对全球目标的广泛活动，强调了网络安全领域对这些新兴威胁的关注。