Хакеры Lazarus взломали разработчика CyberLink и заразили официальное ПО

Американская корпорация Microsoft подтвердила, что известная северокорейская хакерская группировка Lazarus успешно осуществила взлом внутренней ИТ-инфраструктуры известной тайваньской компании CyberLink. В ходе атаки был заражен один из установщиков программного обеспечения трояном, что позволило внедрить вредоносное ПО на компьютеры пользователей по всему миру, сообщает издание Bleeping Computer.

Специалисты по информационной безопасности из Microsoft Threat Intelligence отметили, что хакерская активность, связанная с модифицированным установочным файлом CyberLink, была впервые замечена 20 октября 2023 года. Заражённый установщик был размещён в официальной IT-инфраструктуре обновлений компании CyberLink.

По данным экспертов, скачанное зараженное ПО было обнаружено более чем на 100 устройствах по всему миру, включая пользователей в США, Канаде, Тайване, Японии и других странах. В заявлении Microsoft высказывается предположение, что с высокой долей вероятности данная хакерская атака была проведена известной группировкой Lazarus из Северной Кореи.

Эксперты по информационной безопасности Microsoft подчёркивают, что северокорейские хакеры часто проводят подобные атаки на цепочки поставок, чтобы заразить легальное программное обеспечение троянами. Эти трояны в дальнейшем используются для кражи криптовалютных активов у пользователей, которые скачивают зараженное ПО с официальных сайтов разработчиков.

В частности, в рамках этой атаки распространялось вредоносное ПО под названием LambLoad, способное красть конфиденциальные данные, проникать в среду сборки ПО и устанавливать постоянный доступ к средам жертв.

После того как соответствующая кибератака со стороны северокорейских хакеров была обнаружена, корпорация Microsoft срочно проинформировала пострадавшую компанию CyberLink и уведомила всех клиентов Microsoft Defender, которые могли пострадать от данной атаки.