Северокорейская хакерская группа Lazarus разместила на GitHub шесть зараженных npm-пакетов, способных похищать ключи от криптовалютных кошельков, сообщили специалисты Socket.
Эксперты отмечают, что злоумышленники замаскировали вредоносный код под популярные библиотеки, которые часто скачивают разработчики. Их цель — внедрить зараженные файлы в проекты, распространяя вредоносное ПО. Чтобы атака выглядела правдоподобнее, пять из пакетов получили отдельные репозитории.
По данным Socket, вредоносный код может извлекать данные о криптовалютах, в том числе конфиденциальную информацию из кошельков Solana и Exodus. Атака нацелена на Google Chrome, Brave, Firefox, а также на Keychain в macOS.
«Трудно сказать, связана ли эта атака непосредственно с Lazarus или это имитация. Однако тактика, методы и процедуры (TTP), обнаруженные в этом npm-нападении, тесно соответствуют ранее задокументированным операциям Unit42, eSentire, DataDog, Phylum и других исследователей с 2022 года», — отметил аналитик угроз Socket Кирилл Бойченко.
Зараженные файлы уже скачали более 330 раз, специалисты призвали удалить вредоносные репозитории.
Ранее Bybit обратилась к DAO ParaSwap с требованием вернуть 44,67 wETH (~$100 000), заработанных на комиссиях с транзакций, связанных с Lazarus.
Cryptol — новости о криптовалютах, информационных технологиях и децентрализованных решениях. Оставайтесь в курсе актуальных событий в мире цифровых технологий.