 
 
El Grupo Lazarus, hackers de Corea del Norte, creó una nueva campaña, dirigida a los desarrolladores de criptografía a través de repositorios de NPM. Introdujeron 6 repositorios, que atraerían a los desarrolladores de criptográficos y agregarían malware, para crear puertas traseras, proyectos de infiltrado y robar credenciales.
El grupo de piratería usaría Beaverail, un paquete de malware, para ejecutar un archivo oculto en el sistema de destino. El malware luego robaría credenciales accediendo a archivos del navegador y buscando archivos relacionados con billeteras de criptomonedas como Exodus. Los datos robados se enviarían a un centro de comando y control para que los piratas informáticos puedan acceder fácilmente a los archivos confidenciales.
«Atribuyendo este ataque», escribió Kirill Boychenko, analista de antigüedad de Socket, «definitivamente a Lázaro o un imitador sofisticado sigue siendo desafiante, ya que la atribución absoluta es inherentemente difícil. Sin embargo, las tácticas, las técnicas y los procedimientos (TTP) observados en este ataque de NPM se alinean estrechamente con las operaciones conocidas de Lazarus, ampliamente documentadas por los investigadores de la Unidad42, Esentire, Datadog, Phylum y otros desde 2022 ”.
Los repositorios de NPM se basaron en bibliotecas reales, pero utilizaron un tipo dequiro y una ortografía similar para imitar los paquetes populares y engañar a los desarrolladores para instalarlas. Los paquetes maliciosos se descargaron más de 300 veces, mostrando el alcance del ataque.
Los seis paquetes maliciosos incluyen:
 
- IS-Buffer-Validator: imita la biblioteca IS-Buffer, roba credenciales.
- Yoojae-Validator-Validador falso, roba datos confidenciales.
- Event-Handle-Package: finge ser una herramienta de manejo de eventos, pero instala una puerta trasera para el acceso remoto.
- Matray-Epty-Validator: recolecta credenciales de navegador y sistema.
- React-Event-Dependency: finge ser una utilidad React, pero compromete los entornos de desarrolladores.
- Auth-Validator: roba credenciales de inicio de sesión y API.
«The APT Group», escribió Boychenko, «creó y mantuvo repositorios de GitHub para cinco de los paquetes maliciosos, prestando una apariencia de legitimidad de código abierto y aumentando la probabilidad de que el código nocivo se integre en los flujos de trabajo del desarrollador».
El malware fue diseñado para recopilar información del sistema, como el sistema operativo, los directorios de sistemas y el nombre de host, implementando este ataque a cientos de usuarios de NPM.
«Sistemáticamente itera a través de los perfiles del navegador», escribió Boychenko, «localizar y extraer archivos confidenciales como datos de inicio de sesión de Chrome, Brave y Firefox, así como archivos de llaves en MacOS. En particular, el malware también se dirige a las billeteras de criptomonedas, extrayendo específicamente a ID.json de Solana y Exodus.wallet desde Exodus ”.
Este ataque es parte de la estrategia más amplia del Grupo Lazarus para interrumpir las cadenas de suministro. El malware de NPM les permite dirigirse a los desarrolladores, una parte vital de la cadena de suministro global e incrustarse dentro de sistemas, entornos de desarrollo y direcciones criptográficas para promover sus ataques. Se han utilizado métodos similares para apuntar a los paquetes PIP de GitHub y Python.
«Monitoreo continuo de cambios de dependencia inusuales», escribió Boychenko, «puede exponer actualizaciones maliciosas mientras bloquea las conexiones fuera de los puntos finales C2, evita la exfiltración de datos. Sandboxing Código no confiable en entornos controlados e implementación de protección de punto final puede detectar un sistema de archivos sospechoso o actividades de red ”.
Boychenko plantea un punto crítico porque los desarrolladores, debido a los plazos ajustados, a menudo usan muchas bibliotecas sin verificarlas por completo. La criptomoneda, descentralizada, permite a los desarrolladores colaborar a grandes distancias, pero también aumenta el vector de ataque de los proyectos de código abierto.
Según el informe de las Naciones Unidas 2024, los piratas informáticos norcoreanos fueron responsables del 35% de los robos de criptomonedas, por valor de $ 1 mil millones en cripto de pérdida. Los piratas informáticos representan un nuevo tipo de amenaza de seguridad, siendo actores estatales, porque pueden usar su riqueza acumulada para financiar programas de armas nucleares y mejoras de misiles balísticos.
