Lazarus Infecta Paquetes de JavaScript con Malware Para Robar Criptomonedas: Investigadores

En un nuevo ataque, el grupo Lazarus de Corea del Norte ha sido vinculado a seis nuevos paquetes npm maliciosos.

Lazarus es el infame grupo de hackers norcoreano que ha sido vinculado al reciente hackeo de $1.400 millones a Bybit, el hackeo de $41 millones al casino de criptomonedas Stake y un hackeo de $27 millones al exchange de criptomonedas CoinEx, y muchos otros en la industria de las criptomonedas.

El grupo también fue inicialmente vinculado al hackeo de $235 millones del exchange de criptomonedas indio WazirX en julio de 2024. Pero el mes pasado, la división de Operaciones Estratégicas y Fusión de Inteligencia (IFSO) de la Policía de Delhi arrestó a un hombre de Bengala y confiscó tres portátiles en relación con el ataque.

Esta nueva ronda de malware vinculada a Lazarus también podría extraer datos de criptomonedas, robando información sensible de carteras de criptomonedas Solana y Exodus. El ataque funciona dirigiéndose a archivos en los navegadores Google Chrome, Brave y Firefox, así como a datos de keychain en macOS, específicamente apuntando a desarrolladores que podrían instalar los paquetes sin saberlo.

"Atribuir este ataque definitivamente a Lazarus o a un imitador sofisticado sigue siendo un desafío, ya que la atribución absoluta es inherentemente difícil", escribió Kirill Boychenko, analista de inteligencia de amenazas en Socket Security, en una publicación de blog. "Sin embargo, las tácticas, técnicas y procedimientos (TTP) observados en este ataque npm se alinean estrechamente con las operaciones conocidas de Lazarus, ampliamente documentadas por investigadores de Unit42, eSentire, DataDog, Phylum y otros desde 2022".

Los seis paquetes que han sido identificados son: is-buffer-validator, yoojae-validator, event-handle-package, array-empty-validator, react-event-dependency y auth-validator. Estos funcionan utilizando typosquatting, con nombres mal escritos, para engañar a los desarrolladores y que los instalen.

Según Boychenko: "El grupo APT creó y mantuvo repositorios de GitHub para cinco de los paquetes maliciosos, dando una apariencia de legitimidad de código abierto y aumentando la probabilidad de que el código dañino se integrara en los flujos de trabajo de los desarrolladores".

Los paquetes han sido descargados colectivamente más de 330 veces y, al momento de la publicación, The Socket Team ha solicitado su eliminación, habiendo reportado los repositorios de GitHub y las cuentas de usuario.

Este tipo de técnica ha sido utilizada por Lazarus en el pasado, con un robo al exchange Bybit que valoró una pérdida de alrededor de $1.400 millones en Ethereum. Aproximadamente el 20 por ciento de esos fondos robados se han vuelto intrazables.

En un comunicado, el CEO de Bybit, Ben Zhou, dijo: "El 77% todavía son rastreables, el 20% se han oscurecido, el 3% han sido congelados".

Boychenko afirma que: "Las tácticas del grupo se alinean con campañas pasadas que aprovechan cargas útiles de múltiples etapas para mantener el acceso a largo plazo, señalan los expertos en ciberseguridad".