Portal PANews podał 12 marca, że według Decrypt, zespół badawczy Socket odkrył w nowym ataku, że północnokoreańska grupa hakerska Lazarus była powiązana z sześcioma nowymi złośliwymi pakietami npm, które próbowały zainstalować tylne drzwi w celu kradzieży danych uwierzytelniających użytkowników. Ponadto złośliwe oprogramowanie potrafi wydobywać dane dotyczące kryptowalut i kraść poufne informacje z portfeli kryptowalutowych Solana i Exodus. Ataki te mają na celu głównie wyłudzenie danych z przeglądarek Google Chrome, Brave i Firefox oraz danych z systemu macOS. Ich celem jest nakłonienie programistów do nieświadomej instalacji pakietów złośliwego oprogramowania.
Sześć pakietów złośliwego oprogramowania odkrytych tym razem obejmuje: is-buffer-validator, yoojae-validator, event-handle-package, array-empty-validator, react-event-dependency i auth-validator. Robią to poprzez „typosquatting” (wykorzystując błędnie napisane nazwy), aby nakłonić programistów do zainstalowania oprogramowania. Grupa APT utworzyła i utrzymywała repozytoria GitHub dla pięciu pakietów oprogramowania, maskując je jako legalne projekty typu open source, co zwiększyło ryzyko wykorzystania złośliwego kodu przez programistów. Te pakiety zostały pobrane ponad 330 razy. Zespół Socket zażądał usunięcia tych pakietów i poinformował o powiązanych repozytoriach GitHub oraz kontach użytkowników.
Lazarus to niesławna północnokoreańska grupa hakerska, powiązana z niedawnym atakiem na Bybit na kwotę 1,4 miliarda dolarów, atakiem na Stake na kwotę 41 milionów dolarów, atakiem na CoinEx na kwotę 27 milionów dolarów i niezliczoną ilością innych ataków w branży kryptowalut.
