Связанная с Северной Кореей хакерская группировка Lazarus Group развернула масштабную кампанию под кодовым названием «graphalgo», нацеленную на экосистемы npm и Python Package Index (PyPI). Согласно оценкам специалистов, активность данной угрозы фиксируется с мая 2025 года. Основной целью злоумышленников является кража конфиденциальных данных, в частности, доступ к расширениям браузера М⃰Mask, а также проведение финансовых хищений. Для реализации своих задач хакеры используют сложную схему социальной инженерии, создав легенду о существовании компании Veltrix Capital, якобы работающей в сфере блокчейна и торговли криптовалютами.
Процесс атаки начинается с установления контакта с потенциальными жертвами через социальные платформы LinkedIn и Ф⃰, а также профильные форумы Reddit. Соискатели получают предложения о работе от лиц, выдающих себя за рекрутеров, которые направляют кандидатов в специально созданную организацию на GitHub для прохождения «тестового задания». Эти репозитории, написанные на Python и JavaScript, сами по себе не содержат вредоносного кода, однако зависят от инфицированных библиотек, размещенных в npm и PyPI. При запуске проекта кандидатом происходит установка зависимостей, что активирует цепочку заражения. Примечательно, что пакет npm под названием bigmathutils успел набрать более 10 000 загрузок, аккумулированных между первой безопасной версией и последующим вредоносным обновлением.
Техническая часть атаки представляет собой развертывание трояна удаленного доступа (RAT), который получает команды с внешнего сервера. Вредоносное ПО способно собирать системную информацию, перечислять файлы и каталоги, составлять списки запущенных процессов, а также создавать папки, переименовывать, удалять, загружать и скачивать файлы. Механизм управления (C2) использует систему токенов безопасности: вредонос отправляет данные о системе, в ответ сервер выдает токен, который необходим для всех последующих запросов. Подобный подход с использованием токенов ранее наблюдался в кампаниях 2023 года, проводимых группой Jade Sleet, также известной как TraderTraitor или UNC4899.
Исследователь Karlo Zanki из компании ReversingLabs охарактеризовал данную кампанию как «высокотехнологичную», отметив ее модульность, использование шифрования и терпение атакующих. Масштаб операции подтверждается длинным списком выявленных вредоносных пакетов в npm, среди которых: graphalgo, graphorithm, graphstruct, graphlibcore, netstruct, graphnetworkx, terminalcolor256, graphkitx, graphchain, graphflux, graphorbit, graphnet, graphhub, terminal-kleur, graphrix, bignumx, bignumberx, bignumex, bigmathex, bigmathlib, bigmathutils, graphlink, bigmathix и graphflowx. В реестре PyPI были обнаружены пакеты graphalgo, graphex, graphlibx, graphdict, graphflux, graphnode, graphsync, bigpyx, bignum, bigmathex, bigmathix и bigmathutils.
Параллельно с активностью Lazarus, исследователь Guy Korolevski из компании JFrog обнаружил другую угрозу, исходящую от пользователя с ником «luizaearlyx». Вредоносный пакет под названием «duer-js» позиционировался как утилита для улучшения видимости окна консоли, но на деле содержал инфостилер Bada Stealer. Этот зловред нацелен на кражу токенов Discord, данных криптовалютных кошельков, системной информации, а также паролей, файлов cookie и данных автозаполнения из браузеров Google Chrome, Microsoft Edge, Brave, Opera и Yandex Browser. Эксфильтрация украденных данных осуществляется через веб-хук Discord, а в качестве резервного хранилища используется сервис Gofile. Дополнительно загружается полезная нагрузка, запускающаяся при старте приложения Discord Desktop, которая обладает функцией самообновления и крадет платежные методы.
Третьим значимым вектором угроз стала кампания XPACK ATTACK, зафиксированная исследователем Paul McCarty и источником OpenSourceMalware 4 февраля 2026 года. Злоумышленник, действующий под именем «dev.chandra_bose», разработал метод вымогательства криптовалюты непосредственно во время выполнения команды
В рамках кампании XPACK ATTACK злоумышленник собирает имена пользователей GitHub и цифровые отпечатки устройств. Список вредоносных пакетов, задействованных в этой схеме вымогательства, включает: xpack-per-user, xpack-per-device, xpack-sui, xpack-subscription, xpack-arc-gateway, xpack-video-submission, test-npm-style, xpack-subscription-test и testing-package-xdsfdsfsc. Совокупность этих инцидентов демонстрирует растущую сложность атак на цепочки поставок программного обеспечения и разнообразие методов — от государственного шпионажа до прямого вымогательства.
Изображение носит иллюстративный характер
Процесс атаки начинается с установления контакта с потенциальными жертвами через социальные платформы LinkedIn и Ф⃰, а также профильные форумы Reddit. Соискатели получают предложения о работе от лиц, выдающих себя за рекрутеров, которые направляют кандидатов в специально созданную организацию на GitHub для прохождения «тестового задания». Эти репозитории, написанные на Python и JavaScript, сами по себе не содержат вредоносного кода, однако зависят от инфицированных библиотек, размещенных в npm и PyPI. При запуске проекта кандидатом происходит установка зависимостей, что активирует цепочку заражения. Примечательно, что пакет npm под названием bigmathutils успел набрать более 10 000 загрузок, аккумулированных между первой безопасной версией и последующим вредоносным обновлением.
Техническая часть атаки представляет собой развертывание трояна удаленного доступа (RAT), который получает команды с внешнего сервера. Вредоносное ПО способно собирать системную информацию, перечислять файлы и каталоги, составлять списки запущенных процессов, а также создавать папки, переименовывать, удалять, загружать и скачивать файлы. Механизм управления (C2) использует систему токенов безопасности: вредонос отправляет данные о системе, в ответ сервер выдает токен, который необходим для всех последующих запросов. Подобный подход с использованием токенов ранее наблюдался в кампаниях 2023 года, проводимых группой Jade Sleet, также известной как TraderTraitor или UNC4899.
Исследователь Karlo Zanki из компании ReversingLabs охарактеризовал данную кампанию как «высокотехнологичную», отметив ее модульность, использование шифрования и терпение атакующих. Масштаб операции подтверждается длинным списком выявленных вредоносных пакетов в npm, среди которых: graphalgo, graphorithm, graphstruct, graphlibcore, netstruct, graphnetworkx, terminalcolor256, graphkitx, graphchain, graphflux, graphorbit, graphnet, graphhub, terminal-kleur, graphrix, bignumx, bignumberx, bignumex, bigmathex, bigmathlib, bigmathutils, graphlink, bigmathix и graphflowx. В реестре PyPI были обнаружены пакеты graphalgo, graphex, graphlibx, graphdict, graphflux, graphnode, graphsync, bigpyx, bignum, bigmathex, bigmathix и bigmathutils.
Параллельно с активностью Lazarus, исследователь Guy Korolevski из компании JFrog обнаружил другую угрозу, исходящую от пользователя с ником «luizaearlyx». Вредоносный пакет под названием «duer-js» позиционировался как утилита для улучшения видимости окна консоли, но на деле содержал инфостилер Bada Stealer. Этот зловред нацелен на кражу токенов Discord, данных криптовалютных кошельков, системной информации, а также паролей, файлов cookie и данных автозаполнения из браузеров Google Chrome, Microsoft Edge, Brave, Opera и Yandex Browser. Эксфильтрация украденных данных осуществляется через веб-хук Discord, а в качестве резервного хранилища используется сервис Gofile. Дополнительно загружается полезная нагрузка, запускающаяся при старте приложения Discord Desktop, которая обладает функцией самообновления и крадет платежные методы.
Третьим значимым вектором угроз стала кампания XPACK ATTACK, зафиксированная исследователем Paul McCarty и источником OpenSourceMalware 4 февраля 2026 года. Злоумышленник, действующий под именем «dev.chandra_bose», разработал метод вымогательства криптовалюты непосредственно во время выполнения команды
npm install. Атака злоупотребляет кодом статуса HTTP 402 «Payment Required» (Требуется оплата), создавая фальшивую платежную стену с требованием перевести 0,1 USDC или ETH на кошелек атакующего. В случае неуплаты установка прерывается, что приводит к потере времени (более 5 минут) у разработчиков. В рамках кампании XPACK ATTACK злоумышленник собирает имена пользователей GitHub и цифровые отпечатки устройств. Список вредоносных пакетов, задействованных в этой схеме вымогательства, включает: xpack-per-user, xpack-per-device, xpack-sui, xpack-subscription, xpack-arc-gateway, xpack-video-submission, test-npm-style, xpack-subscription-test и testing-package-xdsfdsfsc. Совокупность этих инцидентов демонстрирует растущую сложность атак на цепочки поставок программного обеспечения и разнообразие методов — от государственного шпионажа до прямого вымогательства.
