Ein staatlich ausgerichtetes Cyberkollektiv aus Nordkorea hat Github-Repositories und NPM-Module mit heimtückischem Schadcode kompromittiert, um digitale Währungen zu stehlen, laut einer Analyse des Securityscorecard STRIKE-Teams.
Bericht: Lazarus-Gruppe nutzt Github- und NPM-Pakete in Kryptowährungs-Malware-Kampagne aus
Dieser Artikel wurde vor mehr als einem Jahr veröffentlicht. Einige Informationen sind möglicherweise nicht mehr aktuell.
GESCHRIEBEN VON
TEILEN
Sicherheitsforscher warnen vor steigenden Open-Source-Malware-Angriffen im Zusammenhang mit der Lazarus-Gruppe
Wie in einem Bericht von Computing.co.uk ausführlich beschrieben, hat die Lazarus-Gruppe schädlichen Javascript-Code in Github-Projekte unter dem Pseudonym „Successfriend“ injiziert, während sie NPM-Tools untergrub, auf die Blockchain-Ingenieure angewiesen sind. Die als „Operation Marstech Mayhem“ bezeichnete Initiative nutzt Schwächen in Software-Lieferketten aus, um die Marstech1-Malware zu verbreiten, die dazu bestimmt ist, Wallets wie Metamask, Exodus und Atomic zu infiltrieren.
Marstech1 durchsucht infizierte Geräte nach Kryptowährungs-Wallets und manipuliert dann die Browsereinstellungen, um Transaktionen heimlich umzuleiten. Indem der Code sich als gutartige Systemaktivität tarnt, entgeht er Sicherheitsüberprüfungen und ermöglicht eine anhaltende Datenerfassung. Computing.co.uk sagt, dass dies die zweite bedeutende Github-basierte Sicherheitslücke im Jahr 2025 darstellt, ähnlich wie die Vorfälle im Januar 2025, bei denen Angreifer die Reichweite der Plattform nutzten, um bösartige Software zu verbreiten.
Der Bericht stellt weiter fest, dass Securityscorecard 233 kompromittierte Entitäten in den USA, Europa und Asien verifiziert hat, wobei Lazarus-verbundene Skripte seit Juli 2024 im Einsatz sind – ein Jahr, das einen dreifachen Anstieg von Open-Source-Malware-Vorfällen erlebte. Parallele Strategien tauchten im Januar 2025 auf, als gefälschte Python-Bibliotheken, die sich als Deepseek AI-Dienstprogramme ausgaben, von PyPI entfernt wurden, weil sie Entwickler-Logins abgegriffen hatten.
Analysten warnen davor, dass solche Angriffe im Jahr 2025 erheblich zunehmen könnten, angeheizt durch die Allgegenwart von Open-Source und miteinander verflochtenen Entwicklungspipelines. Computing.co.uk erklärt, dass ein Security Week-Artikel sich auf die jüngste Klassifizierung von Lieferketten-Schwachstellen durch das Weltwirtschaftsforum (WEF) als eine erstklassige Bedrohung für die Cybersicherheit bezog.
Das neueste Vorhaben von Lazarus verkörpert die fortgeschrittenen Taktiken staatlich geförderter digitaler Spionage, die auf wesentliche technische Rahmenwerke abzielen. Computing.co.uk merkt an, dass globale Unternehmen dazu geraten werden, Drittanbieter-Code-Integrationen genau zu prüfen und Überprüfungsmechanismen zu stärken, um diesen Bedrohungen entgegenzuwirken.
