Хакеры Lazarus из КНДР заразили сотни систем через npm-пакеты

Исследователи выявили шесть вредоносных npm-пакетов, связанных с печально известной северокорейской хакерской группировкой Lazarus. Эти пакеты уже были загружены 330 раз и предназначены для кражи учетных данных, установки бэкдоров на зараженные системы и похищения конфиденциальной криптовалютной информации.

Атака была обнаружена командой Socket Research, которая связала ее с ранее известными операциями Lazarus в области компрометации цепочек поставок ПО. Группировка регулярно использует подобную тактику, загружая вредоносные модули в популярные репозитории, такие как npm, PyPI и GitHub. Таким образом, злоумышленники получают первоначальный доступ к ценным сетям, что иногда приводит к крупным кибератакам, например, кражам криптовалют на миллиарды долларов.

Вредоносные npm-пакеты маскируются под полезные библиотеки, используя метод «опечаточного захвата» (typosquatting), когда злоумышленники создают названия, похожие на легитимные модули:

• is-buffer-validator – подделка популярного пакета is-buffer, крадет учетные данные.
• yoojae-validator – библиотека валидации, на самом деле собирает конфиденциальную информацию.
• event-handle-package – имитация инструмента обработки событий, но с бэкдором для удаленного доступа.
• array-empty-validator – предназначен для кражи системных и браузерных учетных данных.
• react-event-dependency – под видом React-библиотеки внедряет вредоносный код.
• auth-validator – копирует функции аутентификационных инструментов, но на самом деле похищает логины и API-ключи.

Все эти пакеты загружают вредоносное ПО BeaverTail и InvisibleFerret, ранее использовавшееся Lazarus в атаках с поддельными предложениями о работе. Код анализирует данные о системе, а затем извлекает пароли, куки, историю браузера и даже файлы криптокошельков (id.json из Solana и exodus.wallet из Exodus).

Опасность остается актуальной, так как вредоносные модули по-прежнему доступны на npm и GitHub. Разработчикам настоятельно рекомендуется тщательно проверять сторонние библиотеки перед установкой и внимательно анализировать их код на предмет подозрительных элементов, таких как зашифрованные участки кода и вызовы внешних серверов.