Северокорейская хакерская группа Lazarus организовала атаку через заражённые пакеты npm, предназначенные для платформы Node.js. Их целью стало похищение данных разработчиков и криптовалютных инвесторов. Эксперты по кибербезопасности из компании Socket Security выявили, что злоумышленники разместили вредоносные npm-библиотеки на GitHub, выдавая их за легитимные инструменты. Эти пакеты загрузили более 330 раз.
Зловредный код был специально разработан для кражи конфиденциальных данных из криптокошельков Solana и Exodus. Он сканирует файлы пользователей в браузерах Chrome, Brave и Firefox, а также извлекает информацию из связки ключей в macOS. После сбора данные отправляются на удалённый сервер управления (C2) по адресу hxxp://172.86.84[.]38:1224/uploads, что согласуется с известной тактикой Lazarus по компрометации и передаче украденной информации.
Для маскировки своих действий хакеры применили метод опечатки: изменяли написание названий пакетов, создавая ложное впечатление их подлинности. Это помогало обмануть пользователей, заставляя их загружать вредоносные библиотеки.
Топ-5 крупнейших атак Lazarus Group
Взлом Sony Pictures (2014) – группа атаковала Sony Pictures, украла конфиденциальные данные сотрудников и фильмы до их релиза, а также удалила множество файлов с серверов компании. Атака была связана с выходом фильма «Интервью», который высмеивал северокорейского лидера.
Кибератака на Центробанк Бангладеша (2016) – Lazarus похитила 81 млн долларов, взломав систему SWIFT и отправив поддельные транзакции. Это одна из крупнейших краж в истории банковской системы.
Кража криптовалюты через платформу Ronin (2022) – хакеры взломали мост Ronin, используемый в игре Axie Infinity, и вывели около 625 млн долларов в криптовалюте. Это крупнейшая кража цифровых активов, приписываемая этой группе.
Атака на торговые платформы криптовалют (2017 – наст. время) – Lazarus взломала множество криптовалютных бирж, включая Coincheck (потери 530 млн долларов) и другие платформы, крадя сотни миллионов долларов.
Кампания «Operation Dream Job» (2020-2023) – группа использовала поддельные вакансии крупных компаний, таких как Lockheed Martin, чтобы заразить компьютеры специалистов вредоносным ПО и похитить данные.
Специалисты настоятельно рекомендуют разработчикам тщательно проверять пакеты перед их установкой, следить за репутацией репозиториев и использовать дополнительные инструменты безопасности для выявления потенциальных угроз. Регулярные обновления программного обеспечения и аудит загружаемых библиотек помогут минимизировать риски кибератак.
Пострадавшая биржа Bybit запустила программу баунти для борьбы с хакерами из Lazarus
