En un nuevo ataque, el grupo Lazarus de Corea del Norte ha sido vinculado a seis nuevos paquetes maliciosos de npm.

Descubierto por el equipo de investigación de The Socket, el último ataque intenta desplegar puertas traseras para robar credenciales.

Lazarus es el infame grupo de hackers norcoreanos que ha sido vinculado al reciente hackeo de Bybit por $1.4 mil millones de dólares, el hackeo de $41 millones de dólares del casino de criptomonedas Stake y un hackeo de $27 millones de dólares del exchange de criptomonedas CoinEx, y muchos otros en la industria de las criptomonedas.

El grupo también estuvo vinculado inicialmente al hackeo de $235 millones de dólares del exchange de criptomonedas indio WazirX en julio de 2024. Pero el mes pasado, la división de Fusión de Inteligencia y Operaciones Estratégicas (IFSO) de la Policía de Delhi arrestó a un hombre de Bengala e incautó tres computadoras portátiles en relación con el exploit.

Esta nueva ronda de malware vinculada a Lazarus también podría extraer datos de criptomonedas, robando datos confidenciales de las billeteras de criptomonedas Solana y Exodus. El ataque funciona dirigiéndose a archivos en los navegadores Google Chrome, Brave y Firefox, así como a datos de llaveros en macOS, específicamente a los desarrolladores que podrían instalar los paquetes sin saberlo.

«Atribuir este ataque definitivamente a Lazarus o a un imitador sofisticado sigue siendo un desafío, ya que la atribución absoluta es inherentemente difícil», escribió Kirill Boychenko, analista de inteligencia de amenazas de Socket Security, en una publicación de blog. «Sin embargo, las tácticas, técnicas y procedimientos (TTP) observados en este ataque npm se alinean estrechamente con las operaciones conocidas de Lazarus, ampliamente documentadas por investigadores de Unit42, eSentire, DataDog, Phylum y otros desde 2022».

Los seis paquetes que se han identificado son: is-buffer-validator, yoojae-validator, event-handle-package, array-empty-validator, react-event-dependency y auth-validator. Estos funcionan mediante el uso de typosquatting, con nombres mal escritos, para engañar a los desarrolladores para que los instalen.

Según Boychenko: «El grupo APT creó y mantuvo repositorios de GitHub para cinco de los paquetes maliciosos, lo que da una apariencia de legitimidad de código abierto y aumenta la probabilidad de que el código dañino se integre en los flujos de trabajo de los desarrolladores».

Los paquetes se han descargado colectivamente más de 330 veces y, en el momento de la publicación, The Socket Team ha solicitado su eliminación después de haber informado sobre los repositorios de GitHub y las cuentas de usuario.

Este tipo de técnica ha sido utilizada por Lazarusin en el pasado, con un atraco al exchange Bybit valorando una pérdida de alrededor de $1.4 mil millones de dólares en Ethereum. Alrededor del 20 por ciento de esos fondos robados se han vuelto imposibles de rastrear.

En un comunicado, el CEO de Bybit, Ben Zhou, dijo: «El 77% todavía son rastreables, el 20% se han oscurecido, el 3% se han congelado».

Boychenko dice: «Las tácticas del grupo se alinean con campañas anteriores que aprovechan cargas útiles de varias etapas para mantener el acceso a largo plazo, señalan los expertos en ciberseguridad».

Pagina Original:

Lazarus Infects New Batch of JavaScript Packages With Crypto Stealing Malware: Researchers