Lazarus и зараженные npm-пакеты

Киберпреступники из северокорейской хакерской группы Lazarus вновь активизировались, распространяя вредоносные npm-пакеты через платформу GitHub. По данным экспертов Socket, эти пакеты способны похищать ключи от криптокошельков и другие конфиденциальные данные пользователей. Данная атака может представлять серьезную угрозу для разработчиков и владельцев криптовалютных активов.

Как работала атака?

Злоумышленники загрузили шесть зараженных npm-пакетов, выдавая их за популярные библиотеки, часто используемые разработчиками. Чтобы сделать их более правдоподобными, хакеры создали пять специальных репозиториев на GitHub, добавляя схеме доверительный вид. Разработчики, скачавшие эти файлы, рисковали встроить вредоносный код в свои проекты, тем самым распространяя угрозу дальше.

Какие данные крадут вредоносные пакеты?

По словам специалистов Socket, вредоносный код ориентирован на кражу данных, связанных с криптовалютами. В частности, атака нацелена на:

- Криптокошельки Solana и Exodus;

- Файлы браузеров Google Chrome, Brave и Firefox;

- Хранилище Keychain в macOS.

Кто стоит за атакой?

Хотя сложно с точностью утверждать, что атака организована именно группой Lazarus, ее тактика, методы и процедуры (TTP) соответствуют известным операциям этой хакерской группировки. Исследователи из Unit42, eSentire, DataDog, Phylum и других компаний уже не раз документировали аналогичные схемы атак со стороны Lazarus с 2022 года.

Насколько серьезен ущерб?

На момент публикации отчетов зараженные npm-пакеты были скачаны более 330 раз, что указывает на потенциально широкий охват вредоносного кода. Специалисты настоятельно рекомендуют удалить вредоносные репозитории и проверить используемые библиотеки на наличие угроз.

Что делать разработчикам и пользователям криптовалют?

Чтобы защитить себя от подобных атак, важно соблюдать несколько ключевых мер предосторожности:

- Проверяйте исходный код и репутацию npm-пакетов перед их установкой;

- Используйте инструменты анализа безопасности, такие как Socket, для выявления подозрительных зависимостей;

- Ограничивайте доступ к конфиденциальным данным, применяя аппаратные кошельки и многофакторн

Lazarus и криптосектор: не первый случай

Деятельность группы Lazarus тесно связана с атаками на криптовалютные проекты. Недавно Bybit потребовала от ДАО ParaSwap вернуть 44,67 wETH (~$100 000), заработанные на комиссиях с транзакций, связанных с Lazarus. Это еще одно подтверждение того, что криптопреступники продолжают использовать сложные схемы для незаконного обогащения.