Злоумышленники из северокорейской хакерской группы Lazarus опубликовали на платформе GitHub шесть зараженных npm-пакетов, способных в том числе красть ключи от криптокошельков. Об этом сообщили специалисты Socket.
По словам экспертов, злоумышленники попытались выдать зараженный код за популярные библиотеки, которые часто скачивают с платформы. Хакеры рассчитывают, что разработчики воспользуются скомпрометированными файлами и встроят вредоносный код в свои продукты. Для пяти из пакетов создали специальные репозитории, чтобы добавить схеме правдоподобности.
В Socket отметили, что код способен извлекать данные о криптовалютах, в частности — конфиденциальную информацию кошельков Solana и Exodus. Целью атаки становятся файлы Google Chrome, Brave и Firefox, а также данные из хранилища Keychain в macOS.
«Сложно определить, связана ли эта атака с Lazarus или подражателем. Однако тактика, методы и процедуры (TTP), наблюдаемые в этой npm-атаке, тесно связаны с известными операциями Lazarus, подробно задокументированными исследователями из Unit42, eSentire, DataDog, Phylum и другими с 2022 года», — написал аналитик данных об угрозах в Socket Кирилл Бойченко.
Проблемные файлы скачали более 330 раз. Специалисты призвали удалить вредоносные репозитории.
Напомним, Bybit призвала ДАО ParaSwap вернуть 44,67 wETH (~$100 000), заработанные на комиссиях с транзакций Lazarus.