Os hackers norte -coreanos lançaram seis pacotes de software falso para roubar criptomoedas dos desenvolvedores. O Grupo Lazarus Criou esses pacotes NPM maliciosos, que foram baixados mais de 330 vezes.
Seus principais alvos foram os arquivos da carteira Solana e Exodus, que contêm informações de criptografia sensíveis.
Pesquisadores do Socket.Dev descobriram o ataque Em 11 de março de 2025. Os hackers usaram embalagens de digitação – criando pacotes com nomes que parecem bibliotecas legítimas – para enganar os desenvolvedores.
“Os pacotes maliciosos da NPM são um vetor de ataque particularmente eficaz, porque os desenvolvedores geralmente confiam em repositórios de código aberto sem escrutínio completo”, explicou Ensar Seker, CSO na Socradar.
O malware caça para arquivos de carteira específicos em computadores infectados. Ele procura arquivos de carteira ID.Json e êxodo de Solana que poderiam dar aos invasores acesso a fundos de criptografia. O software também rouba informações de login de navegadores populares como Chrome, Brave e Firefox.
Todos os dados roubados são enviados para um servidor de comando controlado pelos hackers. O software também instala um backdoor chamado InvisibleFerret, dando aos atacantes acesso contínuo a sistemas infectados, mesmo após a remoção do vetor inicial.
Os seis pacotes falsos identificados foram: Validador de Is-Buffer, Validador Yoojae, Package de Evento, Validador de Array-Decepty, React-Dependência de Dependência e Validador de Auth. Para parecer mais legítimo, o Lazarus Group criou páginas falsas do Github para a maioria desses pacotes.
Kirill Boychenko, da Socket Security, explicou que, embora seja difícil provar exatamente quem está por trás do ataque, “as táticas, técnicas e procedimentos observados neste ataque da NPM se alinham intimamente às operações conhecidas de Lázaro”.
Esta campanha reflete os métodos sofisticados usados no hack de Bybit Exchange de fevereiro. O hack, que resultou em US $ 1,46 bilhão em criptomoeda roubada, é o maior assalto criptográfico da história. O FBI confirmou que Lázaro foi responsável por esse ataque.
Especialistas em segurança acreditam que a Coréia do Norte usa fundos de criptografia roubados para pagar por seus programas militares e nucleares. O país tem como alvo cada vez mais organizações de criptomoedas nos últimos anos. Suas táticas mudaram de trocas diretamente atacando para ataques mais sutis da cadeia de suprimentos que têm como alvo os desenvolvedores.
Para se manter seguro, as organizações devem usar ferramentas automatizadas para verificar as dependências e revisar o código. As equipes de segurança recomendam bloquear conexões com servidores hackers conhecidos e educar os desenvolvedores sobre os perigos do digitação.
Os pacotes permanecem ativos no registro da NPM. A equipe de segurança da Socket solicitou sua remoção e relatou os repositórios e contas de usuário do GitHub associados, mas a ameaça permanece ativa no momento da publicação. Os desenvolvedores devem verificar cuidadosamente as fontes do pacote antes de baixar qualquer coisa.
