קולקטיב סייבר המוטה למדינה מצפון קוריאה פגע במאגרים ב-Github ובמודולי NPM עם קוד זדוני מתוחכם כדי לגנוב מטבעות דיגיטליים, על פי ניתוח צוות STRIKE של Securityscorecard.
דוח: קבוצת Lazarus מנצלת את Github, חבילות NPM בקמפיין תוכנות זדוניות למטבעות קריפטו
מאמר זה פורסם לפני יותר משנה. חלק מהמידע עשוי לא להיות עדכני.
נכתב ע"י
שתף
חוקרי אבטחה מזהירים על עלייה בהתקפות תוכנה זדונית בקוד פתוח המקושרות לקבוצת Lazarus
כפי שמתואר בדו”ח של Computing.co.uk, קבוצת Lazarus הזריקה Javascript זדוני לפרויקטי Github תחת השם הבדוי “Successfriend,” תוך כדי פגיעה בכלי NPM בהם משתמשים מהנדסי בלוקצ’יין. בשם הקוד “Operation Marstech Mayhem,” היוזמה מנצלת חולשות בשרשראות אספקת תוכנה כדי להפיץ את התוכנה הזדונית Marstech1, שתוכננה לחדור לארנקים כמו Metamask, Exodus, ו-Atomic.
Marstech1 סורק מכשירים שנדבקו כדי למצוא ארנקי קריפטו, ואז משנה את הגדרות הדפדפן כדי לנתב עסקאות באופן חשאי. על ידי התחפשות לפעילות מערכת תמימה, הקוד מתחמק מסריקות אבטחה, ומאפשר מיצוי נתונים מתמשך. Computing.co.uk אומר שזה מייצג את הפריצה המשמעותית השנייה בשנת 2025 שהתבססה על Github, ומשקף את אירועי ינואר 2025 שבהם תוקפים ניצלו את הפלטפורמה כדי להפיץ תוכנה זדונית.
הדו”ח מציין עוד כי Securityscorecard אימתה 233 ישויות שנפגעו בארה”ב, אירופה ואסיה, עם סקריפטים המקושרים ל-Lazarus הפועלים מאז יולי 2024—שנה שבה חלה עלייה פי שלושה באירועים עם תוכנות זדוניות בקוד פתוח. אסטרטגיות מקבילות הופיעו בינואר 2025, כאשר ספריות Python מזויפות שהתחזו ככלי Deepseek AI הוסרו מ-PyPI על כך שגנבו כניסות של מפתחים.
אנליסטים מזהירים כי כאלו פריצות עשויות להתרחב משמעותית ב-2025, בהנחיית הנפוצות של קוד פתוח וצינורות פיתוח משולבים. Computing.co.uk מסביר כי מאמר ב-Security Week ציטט את הערכת ה-World Economic Forum (WEF) שסיווגה פגיעויות בשרשרת האספקה כאיום הסייבר המוביל.
המאמץ החדש ביותר של Lazarus מגלם את הטקטיקות המתקדמות של ריגול דיגיטלי בחסות ממשלתית המכוונות למסגרות טכנולוגיה חיוניות. Computing.co.uk מציין כי גופים גלובליים מומלצים לבדוק בקפידה אינטגרציות קוד צד שלישי ולחזק מנגנוני ביקורת כדי להתמודד עם איומים אלו.
