Rapporto: Il gruppo Lazarus sfrutta Github e pacchetti NPM in una campagna di malware per criptovalute

I ricercatori di sicurezza avvertono dell’aumento degli attacchi malware open-source legati al gruppo Lazarus

Come dettagliato da un report di Computing.co.uk, il Gruppo Lazarus ha iniettato Javascript dannoso nei progetti Github sotto lo pseudonimo di “Successfriend,” mentre sovvertiva strumenti NPM su cui si affidano gli ingegneri blockchain. Denominata “Operazione Marstech Mayhem,” l’iniziativa sfrutta le debolezze nelle catene di distribuzione del software per diffondere il malware Marstech1, progettato per infiltrarsi nei portafogli come Metamask, Exodus e Atomic.

Marstech1 setaccia i dispositivi infetti alla ricerca di portafogli di criptovalute, quindi manipola le impostazioni del browser per reindirizzare clandestinamente le transazioni. Mascherandosi come attività di sistema innocua, il codice elude le scansioni di sicurezza, consentendo l’estrazione persistente dei dati. Computing.co.uk afferma che questo rappresenta la seconda significativa violazione basata su Github del 2025, rispecchiando gli incidenti di gennaio 2025 in cui gli aggressori hanno sfruttato la portata della piattaforma per propagare software malevolo.

Il report evidenzia ulteriormente che Securityscorecard ha verificato 233 entità compromesse tra Stati Uniti, Europa e Asia, con script legati a Lazarus operativi dal luglio 2024—un anno che ha visto un aumento triplo degli incidenti di malware open-source. Strategie parallele sono emerse nel gennaio 2025, quando biblioteche Python contraffatte, camuffate come utility Deepseek AI, sono state eliminate da PyPI per la raccolta dei login degli sviluppatori.

Gli analisti avvertono che tali incursioni potrebbero proliferare significativamente nel 2025, alimentate dall’ubiquità dell’open-source e dalle pipeline di sviluppo intrecciate. Computing.co.uk spiega che un articolo di Security Week ha fatto riferimento alla recente classificazione del WEF (World Economic Forum) delle vulnerabilità della catena di distribuzione come una minaccia principale alla cybersecurity.

Il nuovo sforzo di Lazarus esemplifica le tattiche avanzate dello spionaggio digitale sponsorizzato dal governo mirato a infrastrutture tecnologiche vitali. Computing.co.uk sottolinea che le entità globali sono consigliate di esaminare scrupolosamente le integrazioni di codice di terze parti e rafforzare i meccanismi di revisione per contrastare queste minacce.