En Resumen
- Lazarus lanzó nuevos paquetes npm maliciosos para robar credenciales y criptomonedas.
- El ataque afectó navegadores y macOS, apuntando a desarrolladores desprevenidos.
- Los paquetes han sido descargados más de 330 veces; expertos trabajan en su eliminación.
En un nuevo ataque, el grupo Lazarus de Corea del Norte ha sido vinculado a seis nuevos paquetes npm maliciosos.
Descubierto por The Socket Research Team, el último ataque intenta implementar puertas traseras para robar credenciales.
Lazarus es el infame grupo de hackers norcoreano que ha sido vinculado al reciente hackeo de $1.400 millones a Bybit, el hackeo de $41 millones al casino de criptomonedas Stake y un hackeo de $27 millones al exchange de criptomonedas CoinEx, y muchos otros en la industria de las criptomonedas.
El grupo también fue inicialmente vinculado al hackeo de $235 millones del exchange de criptomonedas indio WazirX en julio de 2024. Pero el mes pasado, la división de Operaciones Estratégicas y Fusión de Inteligencia (IFSO) de la Policía de Delhi arrestó a un hombre de Bengala y confiscó tres portátiles en relación con el ataque.
Esta nueva ronda de malware vinculada a Lazarus también podría extraer datos de criptomonedas, robando información sensible de carteras de criptomonedas Solana y Exodus. El ataque funciona dirigiéndose a archivos en los navegadores Google Chrome, Brave y Firefox, así como a datos de keychain en macOS, específicamente apuntando a desarrolladores que podrían instalar los paquetes sin saberlo.
Expertos Revelan Cómo se Llevó a Cabo el Hackeo de Bybit Por $1.400 Millones
Multiple auditorías independientes han señalado ahora la causa del hackeo histórico de $1.400 millones a Bybit de la semana pasada—considerado como el mayor hackeo de criptomonedas de todos los tiempos según el valor de los activos—y no fue culpa del exchange de criptomonedas. En cambio, analistas de Verichains y Sygnia Labs, dos importantes firmas de ciberseguridad, han determinado que hackers norcoreanos lograron ejecutar el mayor hackeo de la historia al implantar código malicioso en la infra...
"Atribuir este ataque definitivamente a Lazarus o a un imitador sofisticado sigue siendo un desafío, ya que la atribución absoluta es inherentemente difícil", escribió Kirill Boychenko, analista de inteligencia de amenazas en Socket Security, en una publicación de blog. "Sin embargo, las tácticas, técnicas y procedimientos (TTP) observados en este ataque npm se alinean estrechamente con las operaciones conocidas de Lazarus, ampliamente documentadas por investigadores de Unit42, eSentire, DataDog, Phylum y otros desde 2022".
Los seis paquetes que han sido identificados son: is-buffer-validator, yoojae-validator, event-handle-package, array-empty-validator, react-event-dependency y auth-validator. Estos funcionan utilizando typosquatting, con nombres mal escritos, para engañar a los desarrolladores y que los instalen.
Según Boychenko: "El grupo APT creó y mantuvo repositorios de GitHub para cinco de los paquetes maliciosos, dando una apariencia de legitimidad de código abierto y aumentando la probabilidad de que el código dañino se integrara en los flujos de trabajo de los desarrolladores".
Expertos Revelan Cómo se Llevó a Cabo el Hackeo de Bybit Por $1.400 Millones
Multiple auditorías independientes han señalado ahora la causa del hackeo histórico de $1.400 millones a Bybit de la semana pasada—considerado como el mayor hackeo de criptomonedas de todos los tiempos según el valor de los activos—y no fue culpa del exchange de criptomonedas. En cambio, analistas de Verichains y Sygnia Labs, dos importantes firmas de ciberseguridad, han determinado que hackers norcoreanos lograron ejecutar el mayor hackeo de la historia al implantar código malicioso en la infra...
Los paquetes han sido descargados colectivamente más de 330 veces y, al momento de la publicación, The Socket Team ha solicitado su eliminación, habiendo reportado los repositorios de GitHub y las cuentas de usuario.
Este tipo de técnica ha sido utilizada por Lazarus en el pasado, con un robo al exchange Bybit que valoró una pérdida de alrededor de $1.400 millones en Ethereum. Aproximadamente el 20 por ciento de esos fondos robados se han vuelto intrazables.
En un comunicado, el CEO de Bybit, Ben Zhou, dijo: "El 77% todavía son rastreables, el 20% se han oscurecido, el 3% han sido congelados".
Boychenko afirma que: "Las tácticas del grupo se alinean con campañas pasadas que aprovechan cargas útiles de múltiples etapas para mantener el acceso a largo plazo, señalan los expertos en ciberseguridad".
Editado por James Rubin.
