PANews는 3월 12일 Decrypt에 따르면 Socket 연구팀이 새로운 공격을 통해 북한 해커 그룹인 Lazarus가 사용자 자격 증명을 훔치기 위해 백도어를 배포하려고 시도한 6개의 새로운 악성 npm 패키지와 연관이 있다는 사실을 발견했다고 보도했습니다. 또한 이 맬웨어는 암호화폐 데이터를 추출하고 Solana와 Exodus 암호화폐 지갑에서 민감한 정보를 훔칠 수 있습니다. 이러한 공격은 주로 Google Chrome, Brave, Firefox 브라우저의 파일과 macOS의 키체인 데이터를 표적으로 삼아, 개발자가 실수로 이러한 맬웨어 패키지를 설치하도록 속이는 것이 목적입니다.
이번에 발견된 6개의 악성코드 패키지는 다음과 같습니다: is-buffer-validator, yoojae-validator, event-handle-package, array-empty-validator, react-event-dependency, auth-validator. 이들은 개발자를 속여 설치하도록 하기 위해 "타이포스쿼팅"(잘못된 철자 사용)을 통해 이를 수행합니다. APT 그룹은 5개의 소프트웨어 패키지에 대한 GitHub 저장소를 만들고 유지 관리하면서 이를 합법적인 오픈 소스 프로젝트로 위장했으며, 이를 통해 개발자가 악성 코드를 사용할 위험을 높였습니다. 이 패키지는 330회 이상 다운로드되었습니다. 소켓 팀은 이들 패키지의 제거를 요청하였고 관련 GitHub 저장소와 사용자 계정을 보고하였습니다.
라자루스는 최근의 14억 달러 규모의 Bybit 해킹 사건, 4,100만 달러 규모의 Stake 해킹 사건, 2,700만 달러 규모의 CoinEx 해킹 사건 등 암호화폐 산업에서 일어난 수많은 다른 공격과 연관된 악명 높은 북한 해킹 그룹입니다.
