Em um novo ataque, o grupo Lazarus da Coreia do Norte foi associado a seis novos pacotes npm maliciosos — ‘npm’ é um popular gerenciador de pacotes. Descoberto pela The Socket Research Team, o ataque mais recente tenta implantar backdoors para roubar credenciais.
Lazarus é o infame grupo de hackers norte-coreanos que foi associado ao recente hack de US$ 1,4 bilhão da Bybit, ao hack de US$ 41 milhões do cassino de criptomoedas Stake e ao hack de US$ 27 milhões da exchange de criptomoedas CoinEx, além de inúmeros outros no setor.
O grupo também foi inicialmente vinculado ao hack de US$ 235 milhões da exchange de criptomoedas indiana WazirX em julho de 2024. Mas no mês passado, a divisão de Fusão de Inteligência e Operações Estratégicas (IFSO) da Polícia de Déli prendeu um homem de Bengala Ocidental e apreendeu três laptops em conexão com a exploração.
Essa nova rodada de malware vinculada ao Lazarus também pode extrair dados de criptomoedas, roubando dados sensíveis das carteiras cripto Solana e Exodus.
O ataque funciona mirando em arquivos nos navegadores Google Chrome, Brave e Firefox, bem como dados de keychain no macOS, mirando especificamente em desenvolvedores que podem instalar os pacotes sem saber.
“Atribuir esse ataque definitivamente ao Lazarus ou a um imitador sofisticado continua desafiador, pois a atribuição absoluta é inerentemente difícil”, escreveu Kirill Boychenko, analista de inteligência de ameaças da Socket Security, em uma postagem de blog.
“No entanto, as táticas, técnicas e procedimentos (TTPs) observados neste ataque npm se alinham estreitamente com as operações conhecidas do Lazarus, amplamente documentadas por pesquisadores da Unit42, eSentire, DataDog, Phylum e outros desde 2022.”
Os seis pacotes que foram identificados são: is-buffer-validator; yoojae-validator; event-handle-package; array-empty-validator; react-event-dependency; e auth-validator. Eles funcionam usando typosquatting, com nomes escritos incorretamente, para enganar os desenvolvedores e fazê-los instalá-los.
De acordo com Boychenko: “O grupo APT criou e manteve repositórios GitHub para cinco dos pacotes maliciosos, dando uma aparência de legitimidade de código aberto e aumentando a probabilidade do código nocivo ser integrado aos fluxos de trabalho dos desenvolvedores.”
Os pacotes foram baixados coletivamente mais de 330 vezes e, no momento da publicação, a Socket Team solicitou sua remoção, tendo relatado os repositórios do GitHub e as contas de usuários.
Esse tipo de técnica foi usada por Lazarus no assalto à exchange Bybit que resultou na perda de cerca de US$ 1,4 bilhão em Ethereum. Cerca de 20 por cento desses fundos roubados se tornaram indetectáveis.
Em uma declaração, o CEO da Bybit, Ben Zhou, disse: “77% ainda são rastreáveis, 20% desapareceram, 3% foram congelados”. Por sua vez, Boychenko disse: “As táticas do grupo se alinham com campanhas anteriores que alavancam cargas úteis de vários estágios para manter o acesso a longo prazo, observam os especialistas em segurança cibernética.”
* Traduzido e editado com autorização do Decrypt.
- Você tem dúvidas de como montar uma carteira estratégica? O MB quer ajudar você com um portfólio pronto, com as principais criptomoedas relacionadas à inteligência artificial. Clique aqui para responder uma pesquisa e ajudar o MB nesta construção.