Se han identificado seis paquetes maliciosos en NPM (Node Package Manager) vinculados al famoso grupo de piratería norcoreano Lázaro.
Los paquetes, que se han descargado 330 veces, están diseñados para robar información de identificación de la cuenta, implementar plazos en sistemas de compromiso y extraer información de criptomonedas confidenciales.
El equipo de investigación de Socket descubrió la campaña, que la vinculó con las operaciones de la cadena de suministro de Lázaro anteriormente conocida.
Se sabe que el grupo de amenazas ha empujado paquetes maliciosos en registros de software como NPM, que es utilizado por millones de desarrolladores de JavaScript y los sistemas comprometedores pasivamente.
Se identificaron campañas similares atribuidas a los mismos actores en GitHub y el Índice de paquetes de Python (PYPI).
Esta táctica a menudo les permite acceder al primer acceso a redes preciosas y llevar a cabo ataques récord masivos, como el reciente criptográfico de $ 1.5 mil millones en el intercambio de Bybit.
Los seis paquetes de Lázaro descubiertos en NPM usan tácticas para escribir tipoquatas para alentar a los desarrolladores a instalaciones accidentales:
- Validador de Buffer – Malventy Paquete que imita la popular biblioteca IS-Buffer para robar información de identificación.
- Validador Yoojae – Biblioteca de validación de fallas utilizada para extraer datos confidenciales de sistemas infectados.
- paquete de eventos – disfrazada de herramienta de gestión de eventos pero implementa una puerta robada para el acceso remoto.
- Matriz-validador – Paquete fraudulento diseñado para recopilar las referencias del sistema y el navegador.
- Reaccionamiento-dependencia – Pose como una utilidad React pero realiza software malicioso para comprometer los entornos de desarrollo.
- autoalidador – imita las herramientas de validación de autenticación para robar información de identificación de conexión y claves API.
Los paquetes contienen código malicioso diseñado para robar información confidencial, como billeteras de criptomonedas y datos de navegador que contienen contraseñas, cookies e historias de navegación almacenadas.
También cargan el malware Beavertail y la puerta de aleta invisible, que los norcoreanos desplegaron previamente en el trabajo falso que han llevado a la instalación de malware.
Fuente: Slate
“El código está diseñado para recopilar los detalles del entorno del sistema, incluido el nombre del host, el sistema operativo y los directorios del sistema”, “,”, “,”, “,”, ” Explique el informe del socket.
“Sistemáticamente es a través de perfiles de navegador para localizar y extraer archivos confidenciales como datos de conexión Chrome, Brave y Firefox, así como los archivos de Trousseau en macOS”.
“En particular, el malware también se dirige a las carteras de criptomonedas, específicamente extrae Id.json de Solana y Exodus.Wallet of Exodus”.
Los seis paquetes de Lázaro siempre están disponibles en NPM y los estándares de GitHub, por lo que la amenaza aún está activa.
Los desarrolladores de software están invitados a revelar los paquetes que usan para sus proyectos y examinar constantemente el código en el software de código abierto para encontrar señales sospechosas como el código oscurecido y las llamadas a servidores externos.
Basado en un análisis de las acciones maliciosas de 14 millones, descubra las 10 técnicas principales ATTR & CK con el 93% de los ataques y cómo defenderse contra ellos.