Хакери Lazarus Group здійснили потужну кібератаку на криптовалютні гаманці Solana

Хакерське угруповання Lazarus, яке пов’язують із Північною Кореєю, здійснило нову атаку через платформу GitHub. Зловмисники розмістили шість шкідливих npm-пакетів, які можуть викрадати конфіденційні дані, зокрема ключі від криптовалютних гаманців. Про це повідомили аналітики компанії Socket.

Хакери використали тактику маскування, намагаючись видати заражені пакети за популярні бібліотеки, які часто завантажують розробники. Вони створили спеціальні репозиторії, щоб атака здавалася правдоподібнішою, і розраховували на те, що шкідливий код буде вбудований у реальні програмні продукти.

Фахівці зазначають, що шкідливе програмне забезпечення орієнтоване на викрадення даних криптогаманців, зокрема Solana та Exodus. Крім того, воно може отримувати доступ до збережених файлів у браузерах Google Chrome, Brave та Firefox, а також до сховища Keychain у macOS. На момент виявлення шкідливі пакети було завантажено понад 330 разів.

Попри те, що остаточно підтвердити причетність саме Lazarus складно, методи цієї атаки відповідають тактикам, які угруповання застосовує ще з 2022 року. Дослідники з Unit42, eSentire, DataDog та Phylum раніше фіксували подібні операції.

Фахівці закликали розробників терміново видалити шкідливі файли та перевірити свої проекти на наявність уразливостей. Це вже не перший випадок атак Lazarus на криптоіндустрію — група відома зламами бірж, гаманців та інших криптовалютних сервісів з метою фінансування північнокорейських урядових програм.