Six paquets malveillants ont été identifiés sur npm (Node package manager) liés au célèbre groupe de piratage nord-coréen Lazarus.

Les packages, qui ont été téléchargés 330 fois, sont conçus pour voler les informations d’identification du compte, déployer des portes dérobées sur des systèmes compromis et extraire des informations sensibles sur les crypto-monnaies.

L’équipe de recherche Socket a découvert la campagne, qui la reliait à des opérations de la chaîne d’approvisionnement Lazarus précédemment connues.

Le groupe de menaces est connu pour pousser des paquets malveillants dans des registres logiciels comme npm, qui est utilisé par des millions de développeurs JavaScript, et compromettre passivement les systèmes.

Des campagnes similaires attribuées aux mêmes acteurs de la menace ont été repérées sur GitHub et l’Index des packages Python (PyPI).

Cette tactique leur permet souvent d’obtenir un accès initial à des réseaux précieux et de mener des attaques massives record, comme le récent vol de crypto de 1,5 milliard de dollars de l’échange Bybit.

Les six paquets Lazarus découverts dans npm utilisent tous des tactiques de typosquattage pour inciter les développeurs à des installations accidentelles:

  1. is-buffer – validator-Paquet malveillant imitant la bibliothèque populaire is-buffer pour voler des informations d’identification.
  2. yoojae-validator-Fausse bibliothèque de validation utilisée pour extraire des données sensibles des systèmes infectés.
  3. event-handle-package-Déguisé en outil de gestion des événements mais déploie une porte dérobée pour l’accès à distance.
  4. array-empty – validator-Package frauduleux conçu pour collecter les informations d’identification du système et du navigateur.
  5. react-event-dependency-Se présente comme un utilitaire React mais exécute des logiciels malveillants pour compromettre les environnements de développement.
  6. auth-validator-Imite les outils de validation d’authentification pour voler les identifiants de connexion et les clés API.

Les packages contiennent du code malveillant conçu pour voler des informations sensibles, telles que des portefeuilles de crypto-monnaie et des données de navigateur contenant des mots de passe stockés, des cookies et un historique de navigation.

Ils chargent également le malware BeaverTail et la porte dérobée Invisible Furet, que les Nord-Coréens avaient précédemment déployés dans de fausses offres d’emploi qui ont conduit à l’installation de logiciels malveillants.

Extrait de code qui télécharge des charges utiles de logiciels malveillants

« Le code est conçu pour collecter les détails de l’environnement système, y compris le nom d’hôte, le système d’exploitation et les répertoires système », explique le rapport Socket.

« Il parcourt systématiquement les profils de navigateur pour localiser et extraire des fichiers sensibles tels que les données de connexion de Chrome, Brave et Firefox, ainsi que des archives de trousseaux sur macOS. »

« Notamment, le malware cible également les portefeuilles de crypto-monnaie, en extrayant spécifiquement les identifiants.json de Solana et exode.portefeuille de l’Exode. »

Les six paquets Lazarus sont toujours disponibles sur npm et les dépôts GitHub, donc la menace est toujours active.

Il est conseillé aux développeurs de logiciels de revérifier les packages qu’ils utilisent pour leurs projets et d’examiner en permanence le code dans les logiciels open source pour détecter des signes suspects tels que du code obscurci et des appels vers des serveurs externes.

Laisser un commentaire

Votre adresse e-mail ne sera pas publiée. Les champs obligatoires sont indiqués avec *