گروه لازاروس از کره شمالی، شش بسته مخرب را در npm وارد کرده که به طور خاص توسعهدهندگان و کاربران ارزهای دیجیتال را هدف قرار میدهد.
براساس تحقیقات تیم Socket، این بستهها که بیش از ۳۰۰ بار دانلود شدهاند، برای دزدیدن اطلاعات ورود، نصب درب پشتی و استخراج دادههای حساس از کیفپولهای مربوط به سولانا و اکسودوس طراحی شدهاند.
این بدافزار به طور خاص پروفایلهای مرورگر را هدف قرار میدهد و فایلها را از مرورگرهای کروم، بریو و فایرفاکس اسکن میکند. بستههای شناسایی شده با استفاده از حملات تایپو-اسکواتینگ، توسعهدهندگان را فریب میدهند.
لازاروس پیش از این از حملات زنجیره تأمین از طریق npm، گیتهاب و PyPI برای نفوذ به شبکهها استفاده کرده است. این گروه اخیراً در سرقت ۱.۵ میلیارد دلاری از صرافی Bybit دست داشته است.
کارشناسان امنیت سایبری تأکید میکنند که تاکتیکهای این گروه با کمپینهای قبلی آنها همخوانی دارد.
