Kuzey Kore’den devlet destekli bir siber kolektif, dijital paraları çalmak için sinsi kötü amaçlı kodla Github depolarını ve NPM modüllerini ele geçirdi, Securityscorecard STRIKE Ekibinin analizine göre.
Rapor: Lazarus Grubu Github ve NPM Paketlerini Kriptopara Kötü Amaçlı Yazılım Kampanyasında Sömürüyor
Bu makale bir yıldan fazla süre önce yayınlandı. Bazı bilgiler güncel olmayabilir.
YAZAN
PAYLAŞ
Güvenlik Araştırmacıları, Lazarus Grubu’na Bağlı Yükselen Açık Kaynaklı Kötü Amaçlı Yazılım Saldırıları Konusunda Uyarıyor
Computing.co.uk raporunda ayrıntılı olarak anlatıldığı üzere, Lazarus Grubu Github projelerine “Successfriend” takma adıyla zararlı Javascript enjekte etti ve blockchain mühendisleri tarafından kullanılan NPM araçlarını alt üst etti. “Operation Marstech Mayhem” kod adı verilen girişim, yazılım tedarik zincirlerindeki zayıflıkları istismar ederek, Metamask, Exodus ve Atomic gibi cüzdanlara sızmak için tasarlanmış Marstech1 kötü amaçlı yazılımını yaymayı amaçlıyor.
Marstech1, kripto para cüzdanlarını aramak için enfekte cihazları tarıyor ve ardından tarayıcı ayarlarını gizlice yönlendirmek için manipüle ediyor. Kendini zararsız bir sistem etkinliği olarak gizleyerek güvenlik taramalarından kaçan kod, kalıcı veri çıkarımına olanak tanıyor. Computing.co.uk, bunun 2025’in Github tabanlı ikinci büyük ihlali olduğunu ve Ocak 2025’teki olaylara benzediğini, saldırganların platformun erişimini, kötü amaçlı yazılım yaymak için silahlandırdığını kaydediyor.
Rapor ayrıca Securityscorecard’ın ABD, Avrupa ve Asya’yı kapsayan 233 ele geçirilmiş varlığı doğruladığını, Lazarus bağlantılı betiklerin Temmuz 2024’ten bu yana faaliyette olduğunu belirtiyor – açık kaynaklı kötü amaçlı yazılım olaylarının üç katına çıktığı bir yıl. Ocak 2025’te, geliştirici girişlerini toplamak için PyPI’dan sahte Python kütüphanelerinin Deepseek AI araçları olarak gizlendiği ve temizlendiği benzer stratejiler ortaya çıktı.
Analistler, bu tür saldırıların açık kaynak yaygınlığı ve iç içe geçmiş geliştirme hatları tarafından 2025’te önemli ölçüde yayılabileceği konusunda uyarıyor. Computing.co.uk, bir Security Week makalesinin, Dünya Ekonomik Forumu’nun (WEF) tedarik zinciri zafiyetlerini birinci sınıf bir siber güvenlik tehdidi olarak sınıflandırmasını referans aldığını açıklıyor.
Lazarus’un en yeni girişimi, hükümet destekli dijital casusluğun ileri taktiklerini, hayati teknoloji çerçevelerine yönelik bir örnek teşkil ediyor. Computing.co.uk, küresel kuruluşların bu tehditlere karşı üçüncü taraf kod entegrasyonlarını dikkatlice incelemeleri ve inceleme mekanizmalarını güçlendirmeleri gerektiğini belirtiyor.
