Северокорейская Lazarus Group внедрила вредоносное программное обеспечение в npm (менеджер пакетов для программной платформы Node.js), чтобы заполучить данные разработчиков и криптоинвесторов. Об этом сообщили специалисты по кибербезопасности компании Socket Security.
Согласно их выводам, эти вредоносные пакеты, которые уже были загружены более 300 раз, предназначены для кражи конфиденциальных данных из криптовалютных кошельков, связанных с Solana или Exodus. Программа сканирует файлы пользователей в браузерах Chrome, Brave и Firefox, а также данные связки ключей в macOS.
Как выяснили эксперты Socket Security, в обнаруженных ими пакетах используется метод опечатки, то есть неверное написание названий.
Затем украденные данные передаются на жёстко запрограммированный сервер C2 по адресу hxxp://172.86.84[.]38:1224/uploads в соответствии с хорошо задокументированной стратегией Lazarus по сбору и передаче скомпрометированной информации, — заявил Кирилл Бойченко, аналитик по угрозам в Socket Security.
Ранее Lazarus использовала атаки через npm, GitHub и PyPI для проникновения в сети, что привело к крупным эксплойтам, например, биржи Bybit. Тогда атака была проведена через взлом компьютера сотрудника Safe, поставщика технологий для Bybit.