Nhóm hacker Lazarus của Triều Tiên đã bị phát hiện liên quan đến một cuộc tấn công mới sử dụng sáu gói npm độc hại nhằm triển khai cửa hậu để đánh cắp thông tin đăng nhập của người dùng. Những gói độc hại này không chỉ nhắm vào thông tin tiền điện tử mà còn trộm cắp dữ liệu từ các ví Solana và Exodus. Cuộc tấn công tập trung vào việc chiếm đoạt dữ liệu từ các tệp trình duyệt Google Chrome, Brave, và Firefox, cũng như dữ liệu keychain của macOS. Các nhà phát triển có thể cài đặt nhầm những gói độc hại này thông qua phương pháp mạo danh tên gọi (typosquatting), nghĩa là sử dụng các tên sai chính tả để đánh lừa.
Các gói độc hại bao gồm: is-buffer-validator, yoojae-validator, event-handle-package, array-empty-validator, react-event-dependency, và auth-validator. Do đó, khả năng mã độc bị sử dụng rất cao khi các dự án này trá hình dưới dạng các dự án mã nguồn mở hợp pháp. Tổng số lượt tải xuống của các gói này đã vượt quá 330 lần.
Nhóm nghiên cứu Socket đã có động thái yêu cầu xóa bỏ các gói này và báo cáo các kho lưu trữ GitHub cũng như tài khoản người dùng có liên quan. Lazarus không chỉ nổi tiếng với cuộc tấn công Bybit trị giá 1,4 tỷ USD gần đây, mà còn liên quan đến vụ hack 41 triệu USD của Stake và 27 triệu USD của CoinEx, cùng vô số cuộc tấn công khác trong ngành tiền điện tử.
