Хакери Lazarus розгорнули нову атаку через GitHub
Зловмисники з північнокорейської хакерської групи Lazarus виклали на платформі GitHub шість заражених npm-пакетів, які, зокрема, здатні викрадати ключі від криптогаманців. Про це повідомили експерти Socket.
На думку фахівців, зловмисники намагалися представити заражений код як популярні бібліотеки, які часто завантажуються з даної платформи. Хакери сподіваються, що розробники скористаються скомпрометованими файлами та інтегрують шкідливий код у свої продукти. Для п’яти з пакетів були створені спеціальні репозиторії, щоб додати правдоподібності схемі.
У Socket підкреслили, що код може витягувати дані про криптовалюти, зокрема конфіденційну інформацію гаманців Solana та Exodus. Жертвами атаки стають файли Google Chrome, Brave і Firefox, а також дані зі сховища Keychain у macOS.
«Важко визначити, чи пов’язана ця атака з Lazarus або її наслідувачем. Проте тактика, методи та процедури (TTP), які спостерігаються в цій npm-атаці, тісно пов’язані з відомими операціями Lazarus, які були детально задокументовані дослідниками з Unit42, eSentire, DataDog, Phylum та іншими з 2022 року», — зазначили в Socket.
Заражені файли завантажили більше 330 разів. Експерти закликали видалити шкідливі репозиторії.
Нагадаємо, Bybit звернулася до ДАО ParaSwap з проханням повернути 44,67 wETH (~$100 000), отримані в результаті комісій із транзакцій Lazarus.
