Hackers norcoreanos infectan a más de 300 desarrolladores con malware npm para robar criptomonedas
Lazarus ataca los monederos Solana y Exodus
El grupo Lazarus ha infectado a cientos de desarrolladores de software, desplegando malware a través de paquetes npm para robar credenciales, extraer datos de criptocarteras e instalar una puerta trasera persistente.
Según una investigación del Socket Research Team, los hackers norcoreanos de Lazarus subieron seis paquetes maliciosos a npm, dirigidos a desarrolladores y usuarios de criptomonedas.
Estos paquetes maliciosos -descargados más de 300 veces- tienen como objetivo robar credenciales de inicio de sesión, desplegar puertas traseras y extraer datos confidenciales de los monederos Solana y Exodus.
El malware se dirige específicamente a perfiles de navegador, escaneando archivos de Chrome, Brave y Firefox, así como datos de llaveros de macOS.
Cómo propaga Lazarus el malware
Los paquetes maliciosos identificados incluyen:
is-buffer-validator
yoojae-validator
event-handle-package
array-empty-validator
react-event-dependency
auth-validator
Estos paquetes utilizan técnicas de typosquatting para engañar a los desarrolladores y que los descarguen con nombres ligeramente mal escritos.
"A continuación, los datos robados se transmiten a un servidor C2 codificado en hxxp://172.86.84[.]38:1224/uploads, siguiendo la estrategia bien documentada de Lazarus para recopilar y filtrar información comprometida", explica Kirill Boychenko, analista de amenazas de Socket Security.
Mitigar la amenaza
Según Socket Security, se espera que Lazarus y otras amenazas avanzadas perfeccionen aún más sus tácticas de infiltración.
Para mitigar estos riesgos, las organizaciones deben aplicar un enfoque de seguridad multicapa, que incluya:
Auditorías automatizadas de dependencias y revisiones de código para detectar anomalías en paquetes de terceros, especialmente aquellos con pocas descargas o fuentes no verificadas.
Supervisión continua de los cambios en las dependencias para detectar actualizaciones maliciosas.
- Bloqueo de conexiones salientes a puntos finales C2 conocidos para evitar la filtración de datos.
- Aislar el código que no sea de confianza en entornos controlados y desplegar soluciones de seguridad en los terminales para detectar actividades sospechosas en el sistema de archivos o en la red.
- Educar a los desarrolladores sobre las tácticas de typosquatting para aumentar la vigilancia y la verificación adecuada antes de instalar nuevos paquetes.
Como ya escribimos, en un giro dramático en la saga de las brechas de seguridad de las criptomonedas, las autoridades han identificado al famoso Grupo Lazarus como el orquestador detrás del reciente exploit Bybit.
