PANewsは3月12日、Decryptによると、Socketの研究チームが新たな攻撃で、北朝鮮のハッカー集団Lazarusが、ユーザーの認証情報を盗むためにバックドアを展開しようとする6つの新たな悪意のあるnpmパッケージに関連していることを発見したと報じた。さらに、このマルウェアは、Solana および Exodus の暗号通貨ウォレットから暗号通貨データを抽出し、機密情報を盗むこともできます。攻撃は主に、Google Chrome、Brave、Firefox ブラウザのファイルや macOS のキーチェーン データを標的とし、特に開発者を騙してこれらのマルウェア パッケージを誤ってインストールさせることを目的としています。

今回発見された 6 つのマルウェア パッケージには、is-buffer-validator、yoojae-validator、event-handle-package、array-empty-validator、react-event-dependency、auth-validator が含まれます。彼らは「タイポスクワッティング」（スペルミスの名前の使用）によって開発者を騙し、インストールさせます。 APT グループは、5 つのソフトウェア パッケージ用の GitHub リポジトリを作成および管理し、それらを正当なオープン ソース プロジェクトに偽装して、開発者が悪意のあるコードを使用するリスクを高めました。これらのパッケージは 330 回以上ダウンロードされています。 Socket チームはこれらのパッケージの削除を要求し、関連する GitHub リポジトリとユーザー アカウントを報告しました。

ラザルスは、最近の14億ドルのBybitハッキング、4100万ドルのStakeハッキング、2700万ドルのCoinExハッキング、および暗号通貨業界における数え切れないほどのその他の攻撃に関与した悪名高い北朝鮮のハッキンググループです。