Sebuah kolektif dunia maya yang selaras dengan negara dari Korea Utara telah mengkompromikan repositori Github dan modul NPM dengan kode berbahaya yang tersembunyi untuk mencuri mata uang digital, menurut analisis dari Tim STRIKE Securityscorecard.
Laporan: Kelompok Lazarus Mengeksploitasi Github, Paket NPM dalam Kampanye Malware Cryptocurrency
Artikel ini diterbitkan lebih dari setahun yang lalu. Beberapa informasi mungkin sudah tidak terkini.
DITULIS OLEH
BAGIKAN
Peneliti Keamanan Peringatkan Peningkatan Serangan Malware Open-Source yang Terhubung dengan Grup Lazarus
Seperti yang dirinci oleh laporan dari Computing.co.uk, Grup Lazarus menyuntikkan Javascript berbahaya ke dalam proyek-proyek Github dengan nama samaran “Successfriend,” sementara secara diam-diam memanipulasi alat NPM yang digunakan oleh insinyur blockchain. Dengan kode nama “Operasi Marstech Mayhem,” inisiatif ini mengeksploitasi kelemahan dalam rantai pasokan perangkat lunak untuk menyebarkan malware Marstech1, yang dirancang untuk menyusup ke dompet seperti Metamask, Exodus, dan Atomic.
Marstech1 menyisir perangkat terinfeksi untuk dompet cryptocurrency, lalu memanipulasi pengaturan browser untuk secara diam-diam mengalihkan transaksi. Dengan menyamar sebagai aktivitas sistem yang sah, kode ini menghindari pemindaian keamanan, memungkinkan ekstraksi data yang berkelanjutan. Computing.co.uk mengatakan ini mewakili pelanggaran berbasis Github signifikan kedua di tahun 2025, mencerminkan insiden Januari 2025 di mana penyerang memanfaatkan jangkauan platform untuk menyebarkan perangkat lunak berbahaya.
Laporan tersebut lebih lanjut mencatat bahwa Securityscorecard memverifikasi 233 entitas yang dikompromikan di AS, Eropa, dan Asia, dengan skrip terkait Lazarus yang beroperasi sejak Juli 2024—tahun yang menyaksikan lonjakan tiga kali lipat dalam insiden malware open-source. Strategi paralel muncul pada Januari 2025, ketika perpustakaan Python palsu yang menyamar sebagai utilitas Deepseek AI dihapus dari PyPI karena mencuri login pengembang.
Analis memperingatkan bahwa pelanggaran semacam itu dapat berkembang secara signifikan di tahun 2025, didorong oleh keberadaan open-source yang meluas dan jalur pengembangan yang saling terkait. Computing.co.uk menjelaskan bahwa artikel Security Week merujuk pada klasifikasi terbaru Forum Ekonomi Dunia (WEF) tentang kerentanan rantai pasokan sebagai ancaman utama keamanan siber.
Upaya terbaru Lazarus melambangkan taktik canggih dari spionase digital yang disponsori pemerintah yang ditujukan pada kerangka kerja teknologi vital. Computing.co.uk mencatat entitas global disarankan untuk memeriksa integrasi kode pihak ketiga dan memperkuat mekanisme peninjauan untuk melawan ancaman ini.
