Хакери Lazarus Group здійснили потужну кібератаку на криптовалютні гаманці Solana

Хакерське угруповання Lazarus, яке пов’язують із Північною Кореєю, здійснило нову атаку через платформу GitHub. Зловмисники розмістили шість шкідливих npm-пакетів, які можуть викрадати конфіденційні дані, зокрема ключі від криптовалютних гаманців. Про це повідомили аналітики компанії Sock­et.

Хакери використали тактику маскування, намагаючись видати заражені пакети за популярні бібліотеки, які часто завантажують розробники. Вони створили спеціальні репозиторії, щоб атака здавалася правдоподібнішою, і розраховували на те, що шкідливий код буде вбудований у реальні програмні продукти.

Фахівці зазначають, що шкідливе програмне забезпечення орієнтоване на викрадення даних криптогаманців, зокрема Solana та Exo­dus. Крім того, воно може отримувати доступ до збережених файлів у браузерах Google Chrome, Brave та Fire­fox, а також до сховища Key­chain у macOS. На момент виявлення шкідливі пакети було завантажено понад 330 разів.

Попри те, що остаточно підтвердити причетність саме Lazarus складно, методи цієї атаки відповідають тактикам, які угруповання застосовує ще з 2022 року. Дослідники з Unit42, eSen­tire, Data­Dog та Phy­lum раніше фіксували подібні операції.

Фахівці закликали розробників терміново видалити шкідливі файли та перевірити свої проекти на наявність уразливостей. Це вже не перший випадок атак Lazarus на криптоіндустрію – група відома зламами бірж, гаманців та інших криптовалютних сервісів з метою фінансування північнокорейських урядових програм.