Северокорейская хакерская группировка Lazarus распространила через GitHub шесть вредоносных npm-пакетов, способных похищать ключи от криптокошельков. Об этом сообщили эксперты из компании Socket. Хакеры маскировали зараженные файлы под популярные библиотеки, чтобы разработчики случайно интегрировали вредоносный код в свои проекты. Для повышения правдоподобности были созданы фальшивые репозитории для пяти пакетов.
Вредоносный код нацелен на извлечение данных о криптовалютах, включая конфиденциальную информацию из криптокошельков Solana и Exodus. Целью кибератак стали браузеры Google Chrome, Brave и Firefox, а также Keychain в macOS.
«Трудно точно утверждать, что это работа Lazarus, но тактика и методы, применённые в этой атаке, соответствуют операциям группы, которые документировались с 2022 года исследователями из Unit42, eSentire, DataDog, Phylum и других», — отметил аналитик угроз Кирилл Бойченко из Socket.
Вредоносные файлы были загружены более 330 раз. Специалисты настоятельно рекомендуют удалить заражённые репозитории.
источник
уникальность