朝鮮黑客組織Lazarus在新一批JavaScript軟件包中植入竊取加密貨幣的惡意軟件

據Decrypt報道，Socket研究團隊在一場新的攻擊中發現，朝鮮黑客組織Lazarus與六個新的惡意npm軟件包有關，這些軟件包試圖部署後門以竊取用戶憑證。此外，這些惡意軟件還能提取加密貨幣數據，竊取Solana和Exodus加密錢包中的敏感信息。攻擊主要針對Google Chrome、Brave和Firefox瀏覽器的文件以及macOS的鑰匙串數據，專門誘騙開發者無意中安裝這些惡意軟件包。

此次發現的六個惡意軟件包包括：is-buffer-validator、yoojae-validator、event-handle-package、array-empty-validator、react-event-dependency和auth-validator。它們通過「typosquatting」（利用拼寫錯誤的名稱）誘騙開發者安裝。APT組織為其中五個軟件包創建並維護了GitHub倉庫，偽裝成合法開源項目，增加了惡意代碼被開發者使用的風險。這些軟件包已被下載超過330次。目前，Socket團隊已請求刪除這些軟件包，並報告了相關的GitHub倉庫和用戶賬戶。

Lazarus是臭名昭著的朝鮮黑客組織，與最近的14億美元Bybit黑客攻擊、4100萬美元的Stake黑客攻擊、2700萬美元的CoinEx黑客攻擊以及加密行業中無數其他攻擊有關。