Хакери Lazarus запускають нову атаку через GitHub – ForkLog UA
Хакери, афілійовані з північнокорейською групою Lazarus, випустили на GitHub шість шкідливих пакетів npm, які, серед іншого, здатні витягувати ключі з гаманців криптовалюти, повідомили експерти Socket.
Експерти вказують, що зловмисники намагалися замаскувати шкідливий код під популярні бібліотеки, які часто завантажуються з платформи. Хакери очікують, що розробники будуть використовувати скомпрометовані файли, таким чином інтегруючи шкідливий код у свої програми. Вони створили спеціальні сховища для п’яти пакетів, щоб надати законності схемі.
Socket підкреслив, що код може отримувати інформацію про криптовалюту, включаючи конфіденційні дані з гаманців Solana та Exodus. Цільовою метою атаки є файли в Google Chrome, Brave і Firefox, а також дані, що зберігаються в Keychain на macOS.
«Важко визначити, чи ця атака безпосередньо пов’язана з Lazarus чи просто імітатором. Тим не менш, тактика, техніка та процедури (TTP), які спостерігаються в цій атаці npm, тісно пов’язані з відомою діяльністю Lazarus, яка була ретельно задокументована дослідниками з Unit42, eSentire, DataDog, Phylum та інших з 2022 року», – зазначив Socket.
Шкідливі файли були завантажені більше 330 разів. Експерти закликають видалити ці шкідливі сховища.
Нагадуємо, що Bybit закликав ParaSwap DAO повернути 44,67 wETH (~100 000 доларів), які були накопичені з комісії за транзакції, пов’язані з Lazarus.
