Socket: Северокорейские хакеры Lazarus нацелились на криптокошельки Solana и Exodus

Пакеты npm (Node Package Manager) — это модули или библиотеки программного кода для современной JavaScript-разработки. Они представляют собой готовые решения, которые разработчики могут использовать для создания приложений, вместо того чтобы писать код с нуля.

С начала марта 2025 года в репозитории GitHub было выявлено шесть вредоносных npm-пакетов, связанных с Lazarus, которые уже были загружены более 300 раз. Пакеты npm, замаскированные под легитимные библиотеки JavaScript с названиями вроде is-buffer-validator или auth-validator, содержали вредоносное ПО BeaverTail. 

Основной целью хакеров было извлечение данных из криптовалютных кошельков, включая файлы id.json (Solana) и exodus.wallet (Exodus), а также кража учетных данных из браузеров (Chrome, Brave, Firefox) и ключей macOS Keychain.

В Socket полагают, что кошельки Solana и Exodus стали приоритетными целями для Lazarus из-за их популярности. Главная уязвимость этих кошельков заключается в локальном хранении ключей, что значительно облегчает хакерам кражу цифровых активов при заражении устройства жертвы.

Исследователи призвали разработчиков приложений и криптотрейдеров проявлять бдительность, поскольку на момент выявления угрозы поддельные npm-пакеты остаются доступными к загрузке из репозитория.

Ранее издание Bleepingcomputer сообщило, что хакеры группы Crazy Evil похищали криптовалюты у соискателей работы в сфере блокчейна и Web3, публикуя фейковые вакансии и представляясь потенциальными работодателями.