Un collectif cyber-aligné avec l’État de la Corée du Nord a compromis des référentiels Github et des modules NPM avec un code malveillant furtif pour dérober des devises numériques, selon une analyse de l’équipe STRIKE de Securityscorecard.
Rapport : Le groupe Lazarus exploite Github, des packages NPM dans une campagne de logiciels malveillants sur les cryptomonnaies
Cet article a été publié il y a plus d'un an. Certaines informations peuvent ne plus être actuelles.
ÉCRIT PAR
PARTAGER
Les chercheurs en sécurité avertissent de l’augmentation des attaques de logiciels malveillants open-source liées au groupe Lazarus
Comme détaillé par un rapport de Computing.co.uk, le groupe Lazarus a injecté du Javascript nuisible dans des projets Github sous le pseudonyme “Successfriend”, tout en subvertissant des outils NPM utilisés par les ingénieurs blockchain. Surnommée “Operation Marstech Mayhem”, l’initiative exploite les faiblesses des chaînes d’approvisionnement logicielle pour diffuser le malware Marstech1, conçu pour infiltrer des portefeuilles tels que Metamask, Exodus, et Atomic.
Marstech1 ratisse les appareils infectés à la recherche de portefeuilles de cryptomonnaies, puis manipule les paramètres du navigateur pour rediriger clandestinement les transactions. En se déguisant en activité système bénigne, le code échappe aux analyses de sécurité, permettant une extraction de données persistante. Computing.co.uk affirme qu’il s’agit de la deuxième violation significative basée sur Github en 2025, reflétant les incidents de janvier 2025 où les attaquants ont utilisé la portée de la plateforme pour propager des logiciels malveillants.
Le rapport note en outre que Securityscorecard a vérifié 233 entités compromises couvrant les États-Unis, l’Europe et l’Asie, avec des scripts liés à Lazarus opérationnels depuis juillet 2024 – une année qui a vu un triplement des incidents de logiciels malveillants open-source. Des stratégies parallèles ont émergé en janvier 2025, lorsque des bibliothèques Python contrefaites se faisant passer pour des utilitaires Deepseek AI ont été supprimées de PyPI pour avoir récolté des identifiants de développeurs.
Les analystes avertissent que ces incursions pourraient se multiplier considérablement en 2025, alimentées par l’omniprésence de l’open-source et les pipelines de développement interconnectés. Computing.co.uk explique qu’un article de Security Week a référencé la récente classification du Forum Économique Mondial (WEF) des vulnérabilités de la chaîne d’approvisionnement comme une menace majeure en cybersécurité.
La nouvelle tentative du groupe Lazarus incarne les tactiques avancées d’espionnage numérique parrainé par des gouvernements visant des cadres technologiques vitaux. Computing.co.uk note que les entités mondiales sont conseillées de scruter les intégrations de code tiers et de renforcer les mécanismes de révision pour contrer ces menaces.
