Kuzey Kore'ye bağlı tehdit aktörlerine bağlı altı zararlı npm paketi, geliştirici kimlik bilgilerini çalmak ve uzaktan erişim sağlamak için Rollup polyfill araçlarını taklit ediyor. JFrog güvenlik araştırmacıları tarafından tespit edilen paketler, gerçek Rollup polyfill araçlarının adını, açıklamasını, depo meta verilerini ve paket yapısını taklit ediyor.

Zararlı Paketlerin Yapısı

Paketler, tespit edilmeyi önlemek için katmanlı bir teslimat zinciri kullanıyor. İlk aşama paketleri, gizli ikinci aşama bağımlılıkları olarak gizlenmiş SVG yardımcı programlarını yükler, bunlar daha sonra bir uzak barındırma hizmetinden bir JSON nesnesi alır ve içindeki yükü çalıştırır. JFrog, paketlerin yapısının, Lazarus bağlantılı önceki npm kampanyalarıyla tutarlı olduğunu belirtti.

Malware'nin Özellikleri

Malware, web tarayıcılarından ve kripto para cüzdanlarından veri çalar, panoya kopyalanan içeriği periyodik olarak yakalar ve belirli uzantılara sahip dosyaları toplar. Ayrıca, VS Code, Windsurf ve Cursor gibi geliştirici araçlarının yapılandırmalarına ve AWS, Microsoft Azure, Google Gemini, Anthropic Claude ve SSH anahtarları gibi kimlik bilgilerine hedef oluyor.