Виявлено шкідливий пакет react-html2pdf.js, який маскується під популярну бібліотеку react-html2pdf. За атакою стоїть Lazarus Group — північнокорейські хакери, відомі крадіжкою $1.5 млрд у криптовалюті.

Як це працює?

-Пакет не містить типових lifecycle hooks, але ховає шкідливий код у index.js, використовуючи пробіли для обфускації.
-Код робить HTTP-запит до ipcheck-production.up.railway[.]app і виконує пейлоад через eval(), але через помилки (відсутність axios та імпорту) атака провалилася.
-Пейлоад краде криптогаманці, кеш браузерів, ключі та завантажує додаткові модулі.
-Хакери в реальному часі намагалися виправити помилки у кількох версіях, але так і не досягли успіху.

Чому це важливо? Навіть державні хакери допускають помилки, але їхні методи стають дедалі хитрішими.

Як захиститися?

-Перевіряйте пакети на підозрілі залежності (axios, sqlite3).
-Використовуйте інструменти, як-от Aikido Malware Threat Feed (intel.aikido.dev).
-Уникайте пакетів із обфускованим кодом чи нетиповими пробілами.
-Фіксуйте залежності через package-lock.json.

Lazarus Group демонструє, як приховування шкідливого коду може бути очевидним. Будьте пильними!