O Grupo Lazarus, vinculado ao governo da Coreia do Norte, voltou a atacar o ecossistema npm, distribuindo seis pacotes maliciosos com o objetivo de roubar credenciais, acessar dados de criptomoedas e implantar backdoors em sistemas comprometidos. Os atacantes criaram repositórios no GitHub para cinco bibliotecas, simulando projetos legítimos e aumentando as chances de sua adoção.

Até o momento, esses pacotes foram baixados mais de 330 vezes, potencialmente comprometendo diversos ambientes de desenvolvimento. Os pesquisadores da Socket já solicitaram a remoção dos pacotes do npm registry e reportaram as contas associadas no GitHub. Embora a atribuição definitiva ao Grupo Lazarus seja desafiadora, os padrões observados na campanha são consistentes com ataques anteriores da APT norte-coreana.

Entre os indícios mais fortes estão o uso das mesmas técnicas de ofuscação, a capacidade de atacar sistemas Windows, macOS e Linux, e o emprego de um segundo estágio do malware chamado InvisibleFerret para persistência e roubo de dados. O esquema também envolve um mecanismo de comando e controle (C2) similar ao já documentado em campanhas anteriores do Lazarus. Além disso, a abordagem de comprometimento na cadeia de suprimentos segue o mesmo modelo de ataques anteriores do grupo contra desenvolvedores e organizações de tecnologia.