Informe: El Grupo Lazarus explota Github, paquetes NPM en campaña de malware de criptomonedas

Investigadores de seguridad advierten sobre el aumento de ataques de malware de código abierto vinculados al Grupo Lazarus

Como detalla un informe de Computing.co.uk, el Grupo Lazarus inyectó Javascript dañino en proyectos de Github bajo el seudónimo “Successfriend”, al tiempo que subvirtieron herramientas NPM utilizadas por ingenieros de blockchain. Codificada como “Operación Marstech Mayhem”, la iniciativa explota debilidades en cadenas de suministro de software para diseminar el malware Marstech1, diseñado para infiltrarse en monederos como Metamask, Exodus y Atomic.

Marstech1 busca dispositivos infectados en busca de monederos de criptomonedas y luego manipula configuraciones del navegador para redirigir transacciones clandestinamente. Al disfrazarse como actividad del sistema benigna, el código evade escaneos de seguridad, permitiendo la extracción persistente de datos. Computing.co.uk dice que este representa el segundo gran incumplimiento basado en Github en 2025, reflejando incidentes de enero de 2025 donde los atacantes recurrieron al alcance de la plataforma para propagar software malicioso.

El informe además señala que Securityscorecard verificó 233 entidades comprometidas en EE.UU., Europa y Asia, con scripts vinculados a Lazarus operativos desde julio de 2024—un año que presenció un aumento triple en incidentes de malware de código abierto. Estrategias paralelas emergieron en enero de 2025, cuando bibliotecas Python falsificadas que se hacían pasar por utilidades de Deepseek AI fueron eliminadas de PyPI por recolectar inicios de sesión de desarrolladores.

Los analistas advierten que tales incursiones pueden proliferar significativamente en 2025, impulsadas por la ubicuidad del código abierto y los entrelazados pipelines de desarrollo. Computing.co.uk explica que un artículo de Security Week hizo referencia a la reciente clasificación del Foro Económico Mundial (WEF) de las vulnerabilidades de la cadena de suministro como una amenaza cibernética de primer nivel.

El nuevo esfuerzo de Lazarus ejemplifica las tácticas avanzadas de espionaje digital patrocinado por gobiernos dirigido a marcos tecnológicos vitales. Computing.co.uk señala que se aconseja a entidades globales escrutar las integraciones de código de terceros y fortalecer los mecanismos de revisión para contrarrestar estas amenazas.