レポート: ラザルスグループが仮想通貨マルウェアキャンペーンでGitHub、NPMパッケージを悪用

セキュリティ研究者、ラザルスグループに関連するオープンソースマルウェア攻撃の増加を警告

Computing.co.ukのレポートによると、ラザルスグループは「Successfriend」という偽名でGithubプロジェクトに有害なJavascriptを注入し、ブロックチェーンエンジニアが依存しているNPMツールを妨害しました。この「Operation Marstech Mayhem」と名付けられた取り組みは、ソフトウェア供給チェーンの弱点を利用して「Marstech1」マルウェアを広め、その目的はMetamask、Exodus、Atomicのようなウォレットに侵入することです。

Marstech1は感染したデバイスで暗号通貨のウォレットを探索し、その後ブラウザの設定を操作して取引を密かにリダイレクトします。このコードは無害なシステム活動として偽装することで、セキュリティスキャンを回避し、一貫したデータ収集を可能にしています。Computing.co.ukによれば、これは2025年の2番目の重大なGithubベースの侵害を表しており、1月2025年の事例と似ており、攻撃者がプラットフォームのリーチを活用して悪意のあるソフトウェアを拡散させました。

同レポートは、Securityscorecardが米国、欧州、アジアにわたる233の侵害されたエンティティを検証し、ラザルスに関連するスクリプトが2024年7月から稼働していると述べています。2024年はオープンソースのマルウェア事件が3倍に増加した年です。2025年1月には、偽のDeepseek AIユーティリティとして偽装されたPythonライブラリがPyPIから不正ログイン収集のために削除されるという並行した戦略が登場しました。

アナリストは、こうした侵入が2025年には大幅に増加する可能性があると警告しており、オープンソースの普及と関連開発パイプラインによって加速される可能性があります。Computing.co.ukによれば、Security Weekの記事は、世界経済フォーラム（WEF）の最近の供給チェーンの脆弱性に関する主要なサイバーセキュリティ脅威としての分類に言及しています。

ラザルスの最新の試みは、重要な技術基盤を狙った政府支援のデジタルスパイ活動の高度な戦術を具現化しています。Computing.co.ukは、世界中の企業がサードパーティのコード統合を厳しくチェックし、これらの脅威に対抗するためのレビューの強化を求められていると述べています。