Pesquisadores da Socket identificaram uma nova campanha do grupo hacker norte-coreano Lazarus, que introduziu seis pacotes maliciosos no repositório npm. Esses pacotes foram baixados 330 vezes e têm como objetivo roubar credenciais, implantar backdoors e extrair dados de criptomoedas.
Grupo Lazarus usa npm para espalhar malware
Os cibercriminosos exploram registros de software populares, como o npm, para distribuir malware disfarçado de bibliotecas legítimas. Essa estratégia já foi usada pelo Lazarus em ataques ao GitHub e ao Python Package Index (PyPI), resultando em grandes violações de segurança, como o roubo de US$ 1,5 bilhão da exchange Bybit.
Os seis pacotes identificados no npm usam typosquatting para enganar desenvolvedores e induzir instalações acidentais. Confira a lista:
- is-buffer-validator – Finge ser a biblioteca “is-buffer” para roubar credenciais.
- yoojae-validator – Coleta dados sensíveis de sistemas infectados.
- event-handle-package – Introduz um backdoor para acesso remoto.
- array-empty-validator – Rouba credenciais do sistema e navegador.
- react-event-dependency – Malware disfarçado de utilitário React.
- auth-validator – Se apresenta como ferramenta de autenticação, mas rouba credenciais e chaves de API.
Esses pacotes maliciosos contêm códigos capazes de coletar informações do sistema, acessar dados armazenados no navegador (senhas, cookies e histórico) e comprometer carteiras de criptomoedas, incluindo Solana e Exodus.
Malware associado e impacto da ameaça
Além do roubo de dados, os pacotes maliciosos implantam os malwares BeaverTail e InvisibleFerret, previamente utilizados pelo Lazarus em ataques envolvendo falsas ofertas de emprego.
Notícias Relacionadas
Ameaça digital
Ransomware paralisa operações da Sensata Technologies e expõe dados corporativos
A Sensata Technologies foi alvo de ransomware que afetou operações e resultou no roubo de dados. A empresa está investigando o incidente com apoio externo e implementando medidas para retomar as atividades.
Segurança cibernética
Grupo chinês usa falha na ESET para implantar novo malware TCESB no Windows
Grupo ToddyCat explora falha no scanner da ESET para instalar o novo malware TCESB no Windows, usando técnicas furtivas e drivers vulneráveis da Dell para escapar da detecção.
Segundo a Socket, o código malicioso pode:
- Identificar detalhes do sistema operacional e diretórios;
- Vasculhar perfis de navegador em busca de credenciais salvas;
- Roubar arquivos sensíveis, como id.json (Solana) e exodus.wallet (Exodus);
- Estabelecer comunicação com servidores externos para envio de dados roubados.
Como os desenvolvedores podem se proteger
Os pacotes Lazarus ainda estão disponíveis no npm e GitHub, representando um risco contínuo. Para mitigar essa ameaça, desenvolvedores devem:
- Verificar a autenticidade dos pacotes antes da instalação;
- Monitorar regularmente bibliotecas usadas em seus projetos;
- Analisar o código-fonte para identificar trechos suspeitos, como ofuscação e chamadas externas desconhecidas.
A segurança no desenvolvimento depende da atenção contínua às ameaças emergentes. Mantenha-se atualizado e adote boas práticas para proteger seus projetos contra ataques cibernéticos.
