Um coletivo cibernético alinhado ao estado da Coreia do Norte comprometeu repositórios no Github e módulos NPM com código malicioso furtivo para roubar moedas digitais, de acordo com uma análise da equipe STRIKE da Securityscorecard.
Relatório: Grupo Lazarus Explora Github, Pacotes NPM em Campanha de Malware de Criptomoeda
Este artigo foi publicado há mais de um ano. Algumas informações podem não ser mais atuais.
ESCRITO POR
PARTILHAR
Pesquisadores de Segurança Alertam para o Aumento de Ataques de Malware em Código Aberto Ligados ao Grupo Lazarus
Conforme detalhado por um relatório da Computing.co.uk, o Grupo Lazarus injetou Javascript nocivo em projetos no Github sob o pseudônimo “Successfriend”, enquanto subverteu ferramentas NPM usadas por engenheiros de blockchain. Codinome “Operação Marstech Mayhem”, a iniciativa explora fraquezas nas cadeias de suprimento de software para disseminar o malware Marstech1, projetado para infiltrar-se em carteiras como Metamask, Exodus e Atomic.
O Marstech1 vasculha dispositivos infectados em busca de carteiras de criptomoedas, depois manipula as configurações do navegador para redirecionar transações de maneira clandestina. Disfarçando-se como atividade de sistema benigno, o código evita varreduras de segurança, permitindo extração de dados persistente. A Computing.co.uk diz que isso representa a segunda grande violação baseada no Github em 2025, espelhando incidentes de janeiro de 2025, onde atacantes utilizaram o alcance da plataforma para propagar software malicioso.
O relatório observa ainda que a Securityscorecard verificou 233 entidades comprometidas nos EUA, Europa e Ásia, com scripts ligados ao Lazarus operando desde julho de 2024—um ano que testemunhou um aumento de três vezes nos incidentes de malware em código aberto. Estratégias paralelas surgiram em janeiro de 2025, quando bibliotecas Python falsificadas se passando por utilitários de Deepseek AI foram removidas do PyPI por coletar logins de desenvolvedores.
Analistas alertam que tais invasões podem proliferar significativamente em 2025, alimentadas pela ubiquidade do código aberto e pipelines de desenvolvimento interconectados. A Computing.co.uk explica que um artigo da Security Week referenciou a recente classificação do Fórum Econômico Mundial (WEF) das vulnerabilidades na cadeia de suprimentos como uma ameaça cibernética de destaque.
O mais recente empreendimento de Lazarus exemplifica as táticas avançadas da espionagem digital patrocinada pelo governo visando estruturas tecnológicas vitais. A Computing.co.uk observa que entidades globais são aconselhadas a examinar integrações de código de terceiros e fortalecer os mecanismos de revisão para enfrentar essas ameaças.
