Северокорейские хакеры Lazarus атакуют npm: шесть зараженных пакетов в обороте

Специалисты из северокорейской хакерской группы Lazarus опубликовали на платформе GitHub шесть зараженных npm-пакетов, которые могут красть ключи от криптокошельков. Это стало известно благодаря анализу команды Socket.

Эксперты указывают, что злоумышленники попытались замаскировать зараженный код под популярные библиотеки, которые часто скачивают разработчики. Хакеры надеются, что их жертвы самостоятельно встроят вредоносный код в свои приложения. Для пяти из шестнадцати пакетов создали специальные репозитории, усиливающие правдоподобие атаки.

Аналитики из Socket отметил, что вредоносный код может извлекать данные о криптовалютах, включая конфиденциальную информацию из кошельков Solana и Exodus. Основные цели атаки включают файлы браузеров Google Chrome, Brave и Firefox, а также данные из хранилища Keychain на macOS.

«Трудно однозначно определить, относится ли эта атака к группе Lazarus или же это действия подражателей. Тем не менее, тактика, методы и процедуры, использованные в этой атаки на npm, имеют много общего с известными операциями Lazarus, которые были документированы исследователями из Unit42, eSentire, DataDog, Phylum и другими с 2022 года», — отметил аналитик по угрозам в Socket Кирилл Бойченко.

Зараженные файлы были скачаны более 330 раз, что подчеркивает необходимость к повышению осведомленности о киберугрозах и снижении риска для разработчиков. Специалисты настоятельно призывают удалить все вредоносные репозитории.

Стоит также отметить, что Bybit призвала ДАО ParaSwap вернуть 44,67 wETH (~$100 000), заработанные на комиссиях, связанных с транзакциями Lazarus.