Хакери Lazarus розгорнули нову атаку через GitHub

Зловмисники з північнокорейської хакерської групи Lazarus опублікували на платформі GitHub шість заражених npm-пакетів, здатних, зокрема, красти ключі від криптогаманців. Про це повідомили фахівці Socket.

За словами експертів, зловмисники спробували видати заражений код за популярні бібліотеки, які часто завантажують із платформи. Хакери розраховують, що розробники скористаються скомпрометованими файлами та вмонтують шкідливий код у свої продукти. Для п’яти з пакетів створили спеціальні репозиторії, щоб додати схемі правдоподібності.

У Socket зазначили, що код здатний витягувати дані про криптовалюти, зокрема — конфіденційну інформацію гаманців Solana та Exodus. Метою атаки стають файли Google Chrome, Brave і Firefox, а також дані зі сховища Keychain у macOS.

«Складно визначити, чи пов’язана ця атака з Lazarus або наслідувачем. Однак тактика, методи та процедури (TTP), що спостерігаються в цій npm-атаці, тісно пов’язані з відомими операціями Lazarus, детально задокументованими дослідниками з Unit42, eSentire, DataDog, Phylum та іншими з 2022 року», — написали в Socket.

Проблемні файли завантажили понад 330 разів. Фахівці закликали видалити шкідливі репозиторії.

Нагадаємо, Bybit закликала ДАО ParaSwap повернути 44,67 wETH (~$100 000), зароблені на комісіях із транзакцій Lazarus.