Государственная киберколлектив из Северной Кореи скомпрометировал репозитории Github и модули NPM с помощью скрытного вредоносного кода для кражи цифровых валют, согласно анализу команды STRIKE компании Securityscorecard.
Отчет: Группа Lazarus использует Github, пакеты NPM в кампании по распространению вредоносного ПО для криптовалюты
Эта статья была опубликована более года назад. Некоторая информация может быть неактуальной.
АВТОР
ПОДЕЛИТЬСЯ
Исследователи в области безопасности предупреждают о росте атак вредоносного ПО с открытым исходным кодом, связанных с группой Лазарь
Как подробно описано в отчете Computing.co.uk, группа Лазарь внедрила вредоносный Javascript в проекты Github под псевдонимом «Successfriend», подрывая при этом инструменты NPM, на которые полагаются блокчейн-инженеры. Кодовое название операции — «Operation Marstech Mayhem», инициатива использует уязвимости в цепочках поставок программного обеспечения для распространения вредоносного ПО Marstech1, разработанного для проникновения в кошельки, такие как Metamask, Exodus и Atomic.
Marstech1 обыскивает зараженные устройства в поисках криптовалютных кошельков, затем манипулирует настройками браузера для скрытой перенаправки транзакций. Маскируясь под безобидную системную активность, код избегает проверок безопасности, позволяя производить постоянную выкачку данных. Computing.co.uk утверждает, что это является вторым значительным нарушением на платформе Github в 2025 году, повторяя инциденты января 2025 года, когда злоумышленники использовали широту платформы для распространения вредоносного ПО.
Отчет также отмечает, что Securityscorecard подтвердил 233 скомпрометированных объекта в США, Европе и Азии, причем скрипты, связанные с Lazarus, работали с июля 2024 года — года, в который произошел троекратный рост инцидентов с вредоносным ПО с открытым исходным кодом. Похожие стратегии появились в январе 2025 года, когда поддельные библиотеки Python, притворяющиеся утилитами Deepseek AI, были удалены из PyPI за кражу логинов разработчиков.
Аналитики предупреждают, что такие вторжения могут значительно распространиться в 2025 году, подпитываемые вездесущностью открытого кода и взаимосвязанными каналами разработки. Computing.co.uk объясняет, что статья Security Week ссылалась на недавнюю классификацию Всемирного экономического форума (WEF) уязвимостей в цепях поставок как первоочередную угрозу кибербезопасности.
Новейшая акция Lazarus воплощает передовые тактики спонсируемого государством цифрового шпионажа, нацеленного на жизненно важные технологические структуры. Computing.co.uk отмечает, что глобальным организациям рекомендуется тщательно проверять интеграции стороннего кода и укреплять механизмы проверки, чтобы противостоять этим угрозам.
