在一次新的攻击中，北朝鲜的拉撒路小组与六个新的恶意npm包有关联。

根据Socket研究团队的发现，这次最新的攻击试图部署后门以窃取凭证。

拉撒路是臭名昭著的北朝鲜黑客组织，曾与最近的$14亿美元Bybit黑客事件、$4100万美元的加密赌场Stake黑客事件以及$2700万美元的黑客事件有关联，并在加密行业中还有无数其他事件。

该组织还最初与2024年7月印度加密交易所WazirX的$2.35亿美元黑客事件有关联。但上个月，德里警方的情报融合与战略行动（IFSO）部门逮捕了一名孟加拉人并查获了三台与该事件有关的笔记本电脑。

这轮与拉撒路有关的新恶意软件也可能提取加密货币数据，从Solana和Exodus加密钱包中窃取敏感数据。该攻击通过针对Google Chrome、Brave和Firefox浏览器中的文件，以及macOS上的钥匙串数据，特别针对可能不知情地安装这些包的开发者。

“将这次攻击明确归因于拉撒路或一个复杂的模仿者仍然具有挑战性，因为绝对归因本质上是困难的，”Socket Security的威胁情报分析师Kirill Boychenko在一篇博客文章中写道。“然而，在这次npm攻击中观察到的战术、技术和程序（TTPs）与拉撒路已知的操作密切相关，这些操作自2022年以来已被Unit42、eSentire、DataDog、Phylum等研究人员广泛记录。”

已识别的六个包是：is-buffer-validator、yoojae-validator、event-handle-package、array-empty-validator、react-event-dependency和auth-validator。这些包通过拼写错误的名称进行typosquatting，欺骗开发者安装它们。

根据Boychenko的说法：“APT小组为五个恶意包创建并维护了GitHub仓库，赋予了开源合法性的外观，并增加了有害代码被集成到开发者工作流程中的可能性。”

这些包的下载总次数超过330次，在发布时，Socket团队已请求删除这些包，并报告了GitHub仓库和用户账户。

这种技术在过去也被拉撒路使用过，涉及到$14亿美元的Bybit交易所盗窃事件，造成约14亿美元的以太坊损失。大约20%的被盗资金已变得无法追踪。

在一份声明中，Bybit首席执行官Ben Zhou表示：“77%仍可追踪，20%已消失，3%已被冻结。”

Boychenko表示：“该组织的战术与过去利用多阶段有效载荷以维持长期访问的活动一致，网络安全专家指出。”

编辑：James Rubin。

免责声明：本文章仅代表作者个人观点，不代表本平台的立场和观点。本文章仅供信息分享，不构成对任何人的任何投资建议。用户与作者之间的任何争议，与本平台无关。如网页中刊载的文章或图片涉及侵权，请提供相关的权利证明和身份证明发送邮件到support@aicoin.com，本平台相关工作人员将会进行核查。