تقرير: مجموعة لازاروس تستغل مكتبات Github وNPM في حملة برمجيات خبيثة تستهدف العملات المشفرة

تحذير من الباحثين الأمنيين بشأن زيادة هجمات البرمجيات الخبيثة مفتوحة المصدر المرتبطة بمجموعة لازاروس

كما تم توضيحه في تقرير من Computing.co.uk، فإن مجموعة لازاروس حقنت جافاسكريبت ضار في مشاريع GitHub تحت الاسم المستعار “Successfriend”، بينما تلاعبت بأدوات NPM التي يعتمد عليها مهندسو البلوك تشين. تم تسمية المبادرة “عملية فوضى مارستك”، وتستغل نقاط الضعف في سلاسل توريد البرمجيات لنشر برنامج مارستك1 الضار، المصمم لاختراق المحافظ مثل Metamask، Exodus، وAtomic.

يبحث مارستك1 في الأجهزة المصابة عن محافظ العملات المشفرة ثم يتلاعب بإعدادات المتصفح لإعادة توجيه المعاملات بشكل سري. عن طريق التنكر كنشاط نظام آمن، يتجنب الشيفرة عمليات المسح الأمني، مما يسمح باستخراج البيانات المستمر. تقول Computing.co.uk إن هذا يمثل ثاني خرق كبير قائم على GitHub في عام 2025، يعكس حوادث يناير 2025 حيث استخدم المهاجمون نطاق الوصول للمنصة لنشر البرامج الضارة.

يشير التقرير أيضًا إلى أن Securityscorecard تحقق من 233 كيانًا مخترقاً تمتد عبر الولايات المتحدة وأوروبا وآسيا، مع تشغيل الشيفرات المرتبطة بلازاروس منذ يوليو 2024 – وهو عام شهد قفزة ثلاثة أضعاف في حوادث البرمجيات الخبيثة مفتوحة المصدر. ظهرت استراتيجيات موازية في يناير 2025، عندما أزيلت مكتبات بايثون مزيفة تتظاهر بأنها أدوات Deepseek AI من PyPI لجمع تسجيلات دخول المطورين.

يحذر المحللون من أن مثل هذه التعديات قد تتكاثر بشكل كبير عام 2025، مدفوعة بانتشار المصادر المفتوحة وخطوط التطوير المتشابكة. يوضح موقع Computing.co.uk أن مقالة في Security Week أشارت إلى تصنيف المنتدى الاقتصادي العالمي (WEF) الحديث لضعف سلسلة التوريد كتهديد أمني سيبراني رئيسي.

تجسد أحدث جهود لازاروس التكتيكات المتقدمة للتجسس الرقمي المدعوم من الحكومة التي تستهدف أطر التكنولوجيا الحيوية. يلاحظ موقع Computing.co.uk أن الكيانات العالمية تُنصح بتمحيص تكاملات الشيفرة من الأطراف الثالثة وتعزيز آليات المراجعة لمواجهة هذه التهديدات.