Grupo Lazarus ataca com malware em javascript | Criptomoedas

Novo ataque do Lazarus mira desenvolvedores

Em março de 2025, o temido grupo de hackers norte-coreano Lazarus voltou a fazer manchetes com uma nova onda de ataques cibernéticos. Desta vez, os alvos foram desenvolvedores que utilizam o ecossistema Node Package Manager (NPM), uma das maiores plataformas de bibliotecas JavaScript. Especialistas da empresa de segurança Socket identificaram seis pacotes maliciosos que, juntos, foram baixados mais de 330 vezes antes de serem removidos do GitHub na quarta-feira, 12 de março.

O golpe envolveu a disseminação de um JavaScript malware conhecido como BeaverTail. Esse código malicioso foi projetado para enganar desenvolvedores, infiltrar seus ambientes de trabalho e roubar dados sensíveis, com foco especial em criptomoedas. A tática utilizada, chamada typosquatting, consiste em criar pacotes com nomes semelhantes a bibliotecas legítimas, induzindo os usuários a instalá-los sem perceber o risco.

Como funciona o BeaverTail

O malware BeaverTail, embutido nos pacotes identificados, possui capacidades avançadas de espionagem e roubo. Após a instalação, ele se infiltra em navegadores populares como Google Chrome, Brave e Firefox, além de extrair dados de keychain em sistemas macOS. Seu principal objetivo é acessar carteiras de criptomoedas, como Solana e Exodus, capturando arquivos sensíveis, como “id.json” da Solana e “exodus.wallet” da Exodus. Esses dados são enviados a um servidor de comando e controle (C2) previamente configurado pelos hackers.

Além disso, o BeaverTail instala backdoors nos sistemas infectados, permitindo acesso contínuo ao ambiente comprometido. Essa funcionalidade reflete as táticas conhecidas do Lazarus, que frequentemente utiliza payloads de múltiplos estágios para manter persistência e explorar vulnerabilidades ao longo do tempo. A sofisticação do ataque evidencia o nível de planejamento do grupo, que explora a confiança dos desenvolvedores em repositórios de código aberto.

Pacotes maliciosos identificados

Os seis pacotes infectados pelo JavaScript malware foram cuidadosamente nomeados para se passar por bibliotecas legítimas. A lista inclui:

• is-buffer-validator: Imita o módulo “is-buffer”, criado por Feross Aboukhadijeh em 2015;
• yoojae-validator: Um nome genérico para despistar usuários;
• event-handle-package: Sugere funcionalidade de manipulação de eventos;
• array-empty-validator: Finge ser uma ferramenta de validação de arrays;
• react-event-dependency: Mira desenvolvedores React;
• auth-validator: Simula uma biblioteca de autenticação.

Esses pacotes foram hospedados em repositórios GitHub mantidos pelo próprio Lazarus, o que aumentou sua aparência de legitimidade. A remoção rápida pelo GitHub, após a descoberta pela Socket, limitou os danos, mas o incidente levanta questões sobre a segurança de plataformas amplamente utilizadas por desenvolvedores.

Foco em Criptomoedas e riscos aos usuários

O interesse do Lazarus em criptomoedas não é novidade. Em 2024, o grupo foi responsável por roubar mais de US$ 1,3 bilhão em ativos digitais em 47 incidentes, segundo a Chainalysis. O ataque atual reforça essa tendência, mirando especificamente carteiras Solana e Exodus, populares entre entusiastas de blockchain. A escolha dessas carteiras sugere que o grupo está acompanhando as preferências do mercado e ajustando suas estratégias para maximizar os lucros.

Para os desenvolvedores, o risco vai além do roubo imediato. A presença de backdoors pode comprometer projetos inteiros, expondo credenciais, chaves de API e informações confidenciais. Assim, a infecção por esse JavaScript malware pode ter consequências prolongadas, especialmente para aqueles que trabalham em ambientes com acesso a ativos digitais valiosos.

Conexão com o histórico do Lazarus

O Lazarus, vinculado à Coreia do Norte desde pelo menos 2007, é conhecido por sua expertise em ataques cibernéticos sofisticados. Além do recente ataque ao NPM, o grupo esteve por trás do histórico roubo de US$ 1,46 bilhão da exchange Bybit em fevereiro de 2025, considerado o maior da história das criptomoedas. Esse incidente envolveu outro malware que comprometeu uma carteira fria da plataforma, destacando a versatilidade do Lazarus em explorar diferentes vetores.

Os pesquisadores da Socket apontam que as táticas, técnicas e procedimentos (TTPs) observados no ataque ao NPM são consistentes com operações anteriores do grupo. Embora a atribuição definitiva seja complexa, a combinação de typosquatting, payloads de múltiplos estágios e foco em criptoativos reforça a assinatura do Lazarus, que já lucrou mais de US$ 6 bilhões com roubos digitais desde 2017, conforme dados da Elliptic.

Resposta da indústria e prevenção

A rápida ação do GitHub em remover os pacotes infectados demonstra a importância da colaboração entre plataformas e empresas de segurança. No entanto, o incidente expõe vulnerabilidades no ecossistema de código aberto, onde a confiança em bibliotecas de terceiros é alta. Especialistas recomendam que desenvolvedores verifiquem a procedência de pacotes, evitem nomes suspeitos e utilizem ferramentas de análise de código para detectar ameaças como o JavaScript malware.

Para os usuários de criptomoedas, a proteção envolve medidas como armazenar ativos em carteiras offline (cold wallets) e evitar clicar em links ou instalar softwares de fontes não confiáveis. A Socket, por sua vez, planeja intensificar a vigilância sobre o NPM, alertando que o Lazarus pode continuar explorando essa superfície de ataque devido ao seu alcance global.

Desenvolva sites com um simples plano

Veja como o PrintPlan – Criar Site Online pode ajudar, com essa ferramenta, você gera planos personalizados a partir de entradas simples, como produto e ramo de atividade, ideal para fortalecer sua presença online com segurança.