Lazarus

Hackers apoiados pelo Estado norte-coreano, associados ao grupo de ameaças Lazarus, estão atacando organizações de saúde nos Estados Unidos com extorsões utilizando o ransomware Medusa. Desde sua emergência em janeiro de 2021, o Medusa, que opera como um serviço de ransomware (RaaS), afetou mais de 300 organizações em setores críticos, com a gangue reivindicando pelo menos 80 novas vítimas até fevereiro de 2025. A Symantec, empresa de cibersegurança, relatou que um subgrupo do Lazarus, possivelmente Andariel/Stonefly, está agora utilizando o Medusa em ataques cibernéticos motivados financeiramente. Os ataques têm como alvo não apenas instituições de saúde, mas também organizações sem fins lucrativos, com um dos alvos sendo uma instituição educacional para crianças autistas. O valor do resgate pode chegar a 15 milhões de dólares, embora a média seja de cerca de 260 mil dólares. Os fundos obtidos são utilizados para apoiar operações de espionagem contra entidades nos setores de defesa, tecnologia e governo dos EUA, Taiwan e Coreia do Sul. A Symantec também forneceu indicadores de comprometimento (IoCs) que incluem dados de infraestrutura de rede e hashes do malware utilizado nos ataques.

Pesquisadores em cibersegurança identificaram uma nova campanha maliciosa ligada ao grupo Lazarus, da Coreia do Norte, que utiliza pacotes maliciosos no npm e no PyPI. Nomeada de ‘graphalgo’, a campanha tem como alvo desenvolvedores através de plataformas como LinkedIn e Reddit, oferecendo falsas oportunidades de emprego em uma empresa fictícia de blockchain. Os pacotes, como ‘bigmathutils’, atraíram mais de 10.000 downloads antes de serem atualizados com cargas maliciosas. A estratégia envolve a criação de repositórios no GitHub que parecem legítimos, mas que contêm dependências maliciosas. Uma vez instaladas, essas dependências permitem que um trojan de acesso remoto (RAT) colete informações do sistema e execute comandos. Além disso, outra descoberta revelou um pacote chamado ‘duer-js’, que rouba informações sensíveis e extorque pagamentos em criptomoedas. Essa situação destaca a crescente sofisticação das ameaças cibernéticas, especialmente em ecossistemas de código aberto, e a necessidade de vigilância constante por parte dos desenvolvedores e empresas.

O grupo de cibercriminosos norte-coreano Lazarus está por trás da campanha hacker chamada Contagious, que utiliza falsas entrevistas de emprego para roubar dados e dinheiro de indivíduos em diversos países. Desde 2023, o grupo tem como alvo candidatos nas indústrias de criptomoedas e blockchain, visando financiar o governo da Coreia do Norte. Os hackers empregam técnicas de engenharia social, como a criação de situações em que as câmeras dos usuários não funcionam, levando-os a baixar malwares disfarçados de atualizações de software. A ferramenta utilizada, chamada ContagiousDrop, é capaz de identificar o sistema operacional do usuário e enviar o malware apropriado. Durante a investigação realizada entre março e junho de 2025, foi revelado que até 230 pessoas foram afetadas por esses ataques, com os criminosos utilizando plataformas de comunicação como Slack para coordenar suas atividades. A pesquisa também indicou que os hackers estão construindo uma base de dados com informações pessoais das vítimas, o que aumenta a gravidade da situação. A conscientização e a vigilância em relação a ofertas de emprego suspeitas são fundamentais para mitigar esses ataques.