Пријави инцидент
Пријави инцидент
Преглед на приватноста

Оваа веб-страница користи колачиња за да ви обезбеди најдобро можно корисничко искуство. Информациите за колачињата се складираат во вашиот прелистувач и извршуваат функции како препознавање кога се враќате на нашата веб-страница и им помагаат на нашите програмери да разберат кои делови од веб-страницата ви се најинтересни и најкорисни.

Строго неопходни колачиња

Строго неопходните колачиња треба да бидат овозможени во секое време за да можеме да ги зачуваме вашите поставки за колачиња.

Powered by  GDPR Cookie Compliance

Кампањата на Lazarus поставува злонамерни пакети во npm и PyPI екосистемите

Објавено: 13.02.2026

Истражувачи за сајбер безбедност открија нов сет на злонамерни пакети во npm и Python Package Index (PyPI) репозиториумите, поврзани со лажна кампања за вработување, која ја организира групата Lazarus, поврзана со Северна Кореја.

Координираната кампања е кодно именувана graphalgo, според првиот пакет објавен во npm регистриот, и се проценува дека е активна од мај 2025 година.

„Развивачите се контактираат преку социјални платформи како LinkedIn и Facebook или преку огласи за работа на форуми како Reddit,“ изјави истражувачот Карло Занки од ReversingLabs во својот извештај. „Кампањата вклучува добро осмислена приказна за компанија која се занимава со блокчејн и криптовалутни берзи.“

Забележително е дека еден од идентификуваните npm пакети, bigmathutils, привлече повеќе од 10.000 преземања по објавувањето на првата, безбедна верзија, и пред да биде објавена втората верзија со злонамерен payload.

Листа на пакети:

npm:
graphalgo, graphorithm, graphstruct, graphlibcore, netstruct, graphnetworkx, terminalcolor256, graphkitx, graphchain, graphflux, graphorbit, graphnet, graphhub, terminal-kleur, graphrix, bignumx, bignumberx, bignumex, bigmathex, bigmathlib, bigmathutils, graphlink, bigmathix, graphflowx

PyPI:
graphalgo, graphex, graphlibx, graphdict, graphflux, graphnode, graphsync, bigpyx, bignum, bigmathex, bigmathix, bigmathutils

Како и многу други кампањи на Севернокорејски напаѓачи фокусирани на работа, нападот започнува со создавање на лажна компанија како Veltrix Capital во сферата на блокчејн и трговија со криптовалути, а потоа се поставува потребната дигитална инфраструктура за да се создаде илузија на легитимност. Ова вклучува регистрирање на домен и создавање поврзана GitHub организација за хостирање на неколку репозитории за користење во кодинг задачи. Репозиториите содржат проекти базирани на Python и JavaScript.

„Прегледот на овие репозитории не откри никаква очигледна злонамерна функционалност,“ рече Занки. „Причината е што злонамерната функционалност не е внесена директно преку репозиториите за интервјуа, туку индиректно – преку зависимости хостирани во npm и PyPI отворените репозитории.“

Целта на овие репозитории е да ги измамат кандидатите кои се пријавуваат за работни позиции на Reddit и Facebook групи да ги извршат проектите на своите машини, со што индиректно ја инсталираат злонамерната зависност и го активираат инфицирањето. Во некои случаи, жртвите се директно контактирани од наводно легитимни рекрутери на LinkedIn.

Пакетите на крајот функционираат како средство за поставување remote access trojan (RAT) кој периодично ја повлекува и извршува командите од надворешен сервер. RAT поддржува различни команди за собирање информации за системот, пребарување на фајлови и директории, листање на тековни процеси, создавање папки, преименување и бришење фајлови, како и upload/download на фајлови.

Интересно е што комуникацијата со command-and-control (C2) серверот е заштитена со токен-механизам, за да се прифатат само барања со валиден токен. Овој пристап претходно е забележан во кампањи од 2023 година поврзани со Севернокорејската хакерска група Jade Sleet, позната и како TraderTraitor или UNC4899.

Системот всушност функционира на следниов начин: пакетите испраќаат податоци за системот како дел од регистрацискиот процес кон C2 серверот, кој потоа враќа токен. Овој токен потоа се испраќа назад на C2 серверот при следните барања за да се потврди дека тие потекнуваат од веќе регистриран инфициран систем.

„Пристапот базиран на токени е сличност […] во двата случаи и, колку што знаеме, не е користен од други актери во малвер кој се хостира на јавни пакети,“ изјави Занки за The Hacker News.

Наодите покажуваат дека Севернокорејските државно поддржани заканувачи продолжуваат да ја загадуваат отворената софтверска екосистема со злонамерни пакети, со цел кражба на чувствителни податоци и финансиски измами. Ова го потврдува фактот дека RAT проверува дали MetaMask екстензијата за прелистувач е инсталирана на машината.

„Доказите укажуваат дека ова е исклучително сложена кампања,“ изјави ReversingLabs. „Неговата модуларност, долготрајност, трпеливост при градење доверба преку различни елементи на кампањата, како и комплексноста на повеќеслојниот и криптиран малвер, укажуваат на работа на државно поддржан заканувач.“

Откриени повеќе злонамерни npm пакети

Декларацијата доаѓа откако JFrog откри сложен злонамерен npm пакет наречен “duer-js”, објавен од корисникот „luizaearlyx“. Иако библиотеката тврди дека е алатка за „побарување на конзолниот прозорец да биде појасен“, таа всушност содржи Windows information stealer наречен Bada Stealer.

Овој малвер може да собира Discord токени, лозинки, колачиња и податоци за autofill од Google Chrome, Microsoft Edge, Brave, Opera и Yandex Browser, детали за криптовалути, и системски информации. Податоците потоа се пренесуваат на Discord webhook, како и на Gofile сервисот за складирање фајлови како резервна копија.

„Покрај кражбата на информации од инфицираниот хост, злонамерниот пакет презема и втор payload,“ изјави истражувачот за безбедност Guy Korolevski. „Овој payload е дизајниран да се извршува при старт на Discord Desktop апликацијата, со можност за самопоправка, и директно краде од неа, вклучувајќи и начини на плаќање кои ги користи корисникот.“

Ова се поклопува со откривањето на уште една малвер кампања која користи npm за изнуда на криптовалути од развивачи при инсталирање на пакети со командата npm install. Кампањата, првпат забележана на 4 февруари 2026, е кодно именувана XPACK ATTACK од OpenSourceMalware.

Имињата на пакетите, сите објавени од корисникот „dev.chandra_bose“, се следниве:

  • xpack-per-user
  • xpack-per-device
  • xpack-sui
  • xpack-subscription
  • xpack-arc-gateway
  • xpack-video-submission
  • test-npm-style
  • xpack-subscription-test
  • testing-package-xdsfdsfsc

„За разлика од традиционалниот малвер кој краде креденцијали или извршува reverse shell, овој напад иновативно ја злоупотребува HTTP 402 ‘Payment Required’ статус-кодата за да создаде наводно легитимна платена бариера,“ изјави истражувачот за безбедност Paul McCarty. „Нападот ја блокира инсталацијата додека жртвите не платат 0.1 USDC/ETH на паричникот на напаѓачот, додека истовремено собира GitHub кориснички имиња и отпечатоци од уредите.“

„Ако одбијат да платат, инсталацијата едноставно не успева по трошок на повеќе од 5 минути од нивното време за развој, и можеби дури и нема да сфатат дека се соочиле со малвер, мислејќи дека станува збор за легитимна платена бариера за пристап до пакетите.“

Извори:

  • The Hacker News – Lazarus Campaign Plants Malicious Packages in npm and PyPI Ecosystems The Hacker News