Seis pacotes maliciosos foram identificados no npm (Gerenciador de Pacotes Node) vinculados ao notório grupo de hackers norte-coreano Lazarus.
Os pacotes, que foram baixados 330 vezes, são projetados para roubar credenciais de contas, implantar backdoors em sistemas comprometidos e extrair informações sensíveis de criptomoedas.
A equipe de pesquisa Socket descobriu a campanha, que a vinculou a operações de cadeia de suprimentos anteriormente conhecidas do Lazarus.
O grupo de ameaças é conhecido por inserir pacotes maliciosos em registros de software como o npm, que é usado por milhões de desenvolvedores JavaScript, e comprometer sistemas passivamente.
Campanhas semelhantes atribuídas aos mesmos atores de ameaças foram identificadas no GitHub e no Índice de Pacotes Python (PyPI).
Essa tática muitas vezes permite que eles obtenham acesso inicial a redes valiosas e conduzam ataques maciços recordes, como o recente roubo de criptomoedas de $1,5 bilhão da exchange Bybit.
Os seis pacotes Lazarus descobertos no npm empregam táticas de typosquatting para enganar desenvolvedores para instalações acidentais:
- is-buffer-validator – Pacote malicioso que imita a popular biblioteca is-buffer para roubar credenciais.
- yoojae-validator – Biblioteca de validação falsa usada para extrair dados sensíveis de sistemas infectados.
- event-handle-package – Disfarçado como uma ferramenta de manipulação de eventos, mas implanta um backdoor para acesso remoto.
- array-empty-validator – Pacote fraudulento projetado para coletar credenciais do sistema e do navegador.
- react-event-dependency – Posiciona-se como uma utilidade React, mas executa malware para comprometer ambientes de desenvolvimento.
- auth-validator – Imita ferramentas de validação de autenticação para roubar credenciais de login e chaves de API.
Os pacotes contêm código malicioso projetado para roubar informações sensíveis, como carteiras de criptomoedas e dados do navegador que contêm senhas armazenadas, cookies e histórico de navegação.
Eles também carregam o malware BeaverTail e o backdoor InvisibleFerret, que os norte-coreanos anteriormente implantaram em ofertas falsas de emprego que levaram à instalação de malware.
"O código é projetado para coletar detalhes do ambiente do sistema, incluindo o hostname, sistema operacional e diretórios do sistema", explica o relatório Socket.
Ele itera sistematicamente através de perfis de navegador para localizar e extrair arquivos sensíveis, como Dados de Login do Chrome, Brave e Firefox, bem como arquivos de chaveiros no macOS.
Notavelmente, o malware também visa carteiras de criptomoedas, extraindo especificamente id.json da Solana e exodus.wallet da Exodus.
Todos os seis pacotes Lazarus ainda estão disponíveis no npm e nos repositórios do GitHub, então a ameaça ainda está ativa.
Desenvolvedores de software são aconselhados a verificar duas vezes os pacotes que usam para seus projetos e examinar constantemente o código em softwares de código aberto para encontrar sinais suspeitos como código ofuscado e chamadas para servidores externos.
Publicidade
Conheça a Solyd One, e tenha acesso a todos os cursos de segurança ofensiva da Solyd, todas as certificações práticas, incluindo a SYCP, 2 CTFs anuais com prêmios de até 30 mil reais, dezenas de laboratórios realísticos, suporte, comunidade e muito mais. Saiba mais...