조선 해커 조직 라자루스가 새로운 JavaScript 소프트웨어 패키지에 암호화폐를 훔치는 악성 코드를 심었다

ChainCatcher 메시지에 따르면, Decrypt는 Socket 연구팀이 새로운 공격에서 북한 해커 조직 Lazarus와 관련된 여섯 개의 새로운 악성 npm 소프트웨어 패키지를 발견했다고 보도했습니다. 이 패키지들은 사용자 자격 증명을 훔치기 위해 백도어를 배포하려고 시도합니다.

또한, 이 악성 소프트웨어는 암호화폐 데이터를 추출하고 Solana 및 Exodus 암호 지갑의 민감한 정보를 훔칠 수 있습니다. 공격은 주로 Google Chrome, Brave 및 Firefox 브라우저의 파일과 macOS의 키체인 데이터를 겨냥하며, 개발자가 무심코 이러한 악성 소프트웨어 패키지를 설치하도록 유도합니다.

이번에 발견된 여섯 개의 악성 소프트웨어 패키지는 다음과 같습니다: is-buffer-validator, yoojae-validator, event-handle-package, array-empty-validator, react-event-dependency 및 auth-validator. 이들은 "typosquatting"(철자 오류를 이용한 이름 사용)을 통해 개발자가 설치하도록 유도합니다. APT 조직은 이 중 다섯 개의 소프트웨어 패키지에 대해 GitHub 저장소를 생성하고 유지 관리하며, 합법적인 오픈 소스 프로젝트로 가장하여 악성 코드가 개발자에 의해 사용될 위험을 증가시킵니다. 이 패키지는 330회 이상 다운로드되었습니다. 현재 Socket 팀은 이 패키지의 삭제를 요청했으며, 관련 GitHub 저장소 및 사용자 계정을 보고했습니다.

Lazarus는 악명 높은 북한 해커 조직으로, 최근 14억 달러 규모의 Bybit 해킹 공격, 4100만 달러의 Stake 해킹 공격, 2700만 달러의 CoinEx 해킹 공격 및 암호화폐 산업의 수많은 다른 공격과 관련이 있습니다.