Si no sabés por dónde podrían entrar, ya están adentro.
La campaña Lazarus instala paquetes maliciosos en los ecosistemas npm y PyPI
Investigadores de ciberseguridad han descubierto un nuevo conjunto de paquetes maliciosos en npm y el repositorio Python Package Index (PyPI) vinculados a una campaña falsa con temática de reclutamiento orquestada por el Grupo Lazarus vinculado a Corea del Norte.
La campaña coordinada se denominó graphalgo en referencia al primer paquete publicado en el registro npm. Se estima que estará activa desde mayo de 2025.
“Se contacta a los desarrolladores a través de plataformas sociales como LinkedIn y Facebook, o mediante ofertas de empleo en foros como Reddit”, explicó Karlo Zanki, investigador de ReversingLabs , en un informe. “La campaña incluye una historia bien orquestada sobre una empresa dedicada a la blockchain y el intercambio de criptomonedas”.
Cabe destacar que uno de los paquetes npm identificados, bigmathutils, registró más de 10 000 descargas tras la publicación de la primera versión, que no contenía malware, y antes de la publicación de la segunda versión, que contenía una carga maliciosa.
