Grupo Lazarus ataca NOVAMENTE
12 de Março de 2025

Seis pacotes maliciosos foram identificados no npm (Gerenciador de Pacotes Node) vinculados ao notório grupo de hackers norte-coreano Lazarus.

Os pacotes, que foram baixados 330 vezes, são projetados para roubar credenciais de contas, implantar backdoors em sistemas comprometidos e extrair informações sensíveis de criptomoedas.

A equipe de pesquisa Socket descobriu a campanha, que a vinculou a operações de cadeia de suprimentos anteriormente conhecidas do Lazarus.

O grupo de ameaças é conhecido por inserir pacotes maliciosos em registros de software como o npm, que é usado por milhões de desenvolvedores JavaScript, e comprometer sistemas passivamente.

Campanhas semelhantes atribuídas aos mesmos atores de ameaças foram identificadas no GitHub e no Índice de Pacotes Python (PyPI).

Essa tática muitas vezes permite que eles obtenham acesso inicial a redes valiosas e conduzam ataques maciços recordes, como o recente roubo de criptomoedas de $1,5 bilhão da exchange Bybit.

Os seis pacotes Lazarus descobertos no npm empregam táticas de typosquatting para enganar desenvolvedores para instalações acidentais:

- is-buffer-validator – Pacote malicioso que imita a popular biblioteca is-buffer para roubar credenciais.
- yoojae-validator – Biblioteca de validação falsa usada para extrair dados sensíveis de sistemas infectados.
- event-handle-package – Disfarçado como uma ferramenta de manipulação de eventos, mas implanta um backdoor para acesso remoto.
- array-empty-validator – Pacote fraudulento projetado para coletar credenciais do sistema e do navegador.
- react-event-dependency – Posiciona-se como uma utilidade React, mas executa malware para comprometer ambientes de desenvolvimento.
- auth-validator – Imita ferramentas de validação de autenticação para roubar credenciais de login e chaves de API.

Os pacotes contêm código malicioso projetado para roubar informações sensíveis, como carteiras de criptomoedas e dados do navegador que contêm senhas armazenadas, cookies e histórico de navegação.

Eles também carregam o malware BeaverTail e o backdoor InvisibleFerret, que os norte-coreanos anteriormente implantaram em ofertas falsas de emprego que levaram à instalação de malware.

"O código é projetado para coletar detalhes do ambiente do sistema, incluindo o hostname, sistema operacional e diretórios do sistema", explica o relatório Socket.

Ele itera sistematicamente através de perfis de navegador para localizar e extrair arquivos sensíveis, como Dados de Login do Chrome, Brave e Firefox, bem como arquivos de chaveiros no macOS.

Notavelmente, o malware também visa carteiras de criptomoedas, extraindo especificamente id.json da Solana e exodus.wallet da Exodus.

Todos os seis pacotes Lazarus ainda estão disponíveis no npm e nos repositórios do GitHub, então a ameaça ainda está ativa.

Desenvolvedores de software são aconselhados a verificar duas vezes os pacotes que usam para seus projetos e examinar constantemente o código em softwares de código aberto para encontrar sinais suspeitos como código ofuscado e chamadas para servidores externos.

Publicidade

Proteja sua empresa contra hackers através de um Pentest

Tenha acesso aos melhores hackers éticos do mercado através de um serviço personalizado, especializado e adaptado para o seu negócio. Qualidade, confiança e especialidade em segurança ofensiva de quem já protegeu centenas de empresas. Saiba mais...