北朝鮮のハッカー組織Lazarusが新たなJavaScriptソフトウェアパッケージに暗号通貨を盗むマルウェアを埋め込んだ。

ChainCatcher のメッセージによると、Decrypt の報道では、Socket 研究チームが新たな攻撃の中で、北朝鮮のハッカー組織 Lazarus が6つの新しい悪意のある npm ソフトウェアパッケージに関連していることを発見しました。これらのパッケージは、ユーザーの認証情報を盗むためのバックドアを展開しようとしています。

さらに、これらのマルウェアは暗号通貨データを抽出し、Solana および Exodus 暗号ウォレット内の敏感な情報を盗むことができます。攻撃は主に Google Chrome、Brave、Firefox ブラウザのファイルおよび macOS のキーチェーンデータを対象としており、開発者が意図せずにこれらの悪意のあるパッケージをインストールするように仕向けています。

今回発見された6つの悪意のあるソフトウェアパッケージは、is-buffer-validator、yoojae-validator、event-handle-package、array-empty-validator、react-event-dependency、auth-validator です。これらは「typosquatting」（スペルミスの名前を利用すること）を通じて開発者を騙してインストールさせます。APT 組織はそのうちの5つのパッケージのために GitHub リポジトリを作成し、合法的なオープンソースプロジェクトに偽装して、悪意のあるコードが開発者によって使用されるリスクを高めています。これらのパッケージは330回以上ダウンロードされています。現在、Socket チームはこれらのパッケージの削除を要求し、関連する GitHub リポジトリおよびユーザーアカウントを報告しました。

Lazarus は悪名高い北朝鮮のハッカー組織であり、最近の14億ドルの Bybit ハッキング、4100万ドルの Stake ハッキング、2700万ドルの CoinEx ハッキング、そして暗号業界における無数の他の攻撃に関連しています。