O Lazarus Group, conhecido coletivo de hackers vinculado ao governo norte-coreano, elevou o nível de suas operações com a introdução de pacotes maliciosos no npm que utilizam ofuscação por codificação hexadecimal para evitar detecção. Essa nova fase da campanha Contagious Interview representa uma escalada na sofisticação dos ataques do grupo, com foco em espionagem cibernética e roubo financeiro. Os pacotes disfarçados como utilitários legítimos foram publicados sob pseudônimos como taras_lakhai, mvitalii, wishorn e crouch626, totalizando mais de 5.600 downloads antes de serem removidos do repositório.
Leia também
Guerra tarifaria favorece ataques cibernéticos
Eficácia de phishing: IA supera os de Red Teams em 24%
A técnica de ofuscação usada envolve transformar strings críticas como nomes de funções, URLs e endereços de servidores de comando e controle (C2) em códigos hexadecimais, que são decodificados dinamicamente durante a execução usando String.fromCharCode. Isso dificulta a detecção por ferramentas automatizadas de análise estática e até mesmo por revisões manuais. Um exemplo disso é o pacote cln-logger, que oculta comandos como “require” e “axios” para se comunicar com servidores maliciosos sem levantar suspeitas imediatas.
Os investigadores também notaram padrões coordenados na infraestrutura usada pelos hackers, como diferentes contas npm se conectando ao mesmo IP de C2 (45.61.151[.]71) e o reaproveitamento de técnicas vistas em campanhas anteriores do grupo, incluindo o uso do malware BeaverTail, voltado para roubo de dados sensíveis como credenciais, histórico de navegação e carteiras de criptomoedas. Além disso, o Lazarus agora utiliza o Bitbucket para hospedar os códigos-fonte dos pacotes maliciosos — uma tentativa de aumentar a legitimidade percebida dos projetos e burlar mecanismos de verificação baseados no GitHub.
Diante dessa ameaça crescente, especialistas recomendam que organizações e desenvolvedores fortaleçam suas defesas na cadeia de suprimentos de software. Isso inclui implementar auditorias automáticas de dependências, varreduras de comportamento anômalo e bloqueio de comunicação com C2s conhecidos. Ferramentas como o Socket, em versão CLI, app GitHub ou extensão de navegador, são úteis para detectar essas ameaças. A campanha recente do Lazarus evidencia a necessidade urgente de tornar a segurança uma prioridade desde o início do ciclo de desenvolvimento, e não uma preocupação posterior.
