Державний кіберальянс з Північної Кореї скомпрометував репозиторії Github та модулі NPM за допомогою прихованого шкідливого коду для викрадення цифрових валют, за даними аналізу STRIKE Team від Securityscorecard.
Звіт: Група Lazarus використовує Github, пакети NPM у кампанії з розповсюдження шкідливого програмного забезпечення для криптовалюти
Ця стаття була опублікована понад рік тому. Деяка інформація може бути неактуальною.
АВТОР
ПОДІЛИТИСЯ
Дослідники з безпеки попереджають про зростання атак на відкритий код, пов’язаних з групою Lazarus
Як зазначено у звіт Computing.co.uk, група Lazarus впровадила шкідливий Javascript у проекти на Github під псевдонімом “Successfriend”, одночасно підриваючи інструменти NPM, на які покладаються блокчейн-інженери. Операція під кодовою назвою “Marstech Mayhem” використовує уразливості в ланцюгах постачання програмного забезпечення для поширення шкідливого ПЗ Marstech1, призначеного для проникнення у гаманці, такі як Metamask, Exodus та Atomic.
Marstech1 сканує заражені пристрої на наявність криптовалютних гаманців, потім маніпулює налаштуваннями браузера, щоб таємно перенаправляти транзакції. Замаскувавшись під звичайну системну активність, код уникає перевірок безпеки, що дозволяє постійне вилучення даних. Computing.co.uk стверджує, що це є другим значним порушенням на Github у 2025 році, повторюючи інциденти січня 2025 року, коли зловмисники використовували платформу для поширення шкідливого програмного забезпечення.
У звіті також відзначається, що Securityscorecard верифікував 233 скомпрометовані об’єкти в США, Європі та Азії, де скрипти, пов’язані з Lazarus, працюють з липня 2024 року — року, коли інциденти з відкритим кодом зросли втричі. Паралельні стратегії з’явилися в січні 2025 року, коли підроблені бібліотеки Python, що маскувалися під Deepseek AI утиліти, були очищені з PyPI за збирання логінів розробників.
Аналітики застерігають, що такі вторгнення можуть значно поширитися у 2025 році, підживлюючись повсюдністю відкритого коду та взаємопов’язаними розробницькими конвеєрами. Computing.co.uk пояснює, що в статті Security Week було згадане нещодавнє класифікування Світового економічного форуму (WEF) вразливостей ланцюга постачання як головної загрози кібербезпеці.
Новий захід Lazarus уособлює собою передові тактики урядового цифрового шпигунства, спрямованого на важливі технологічні рамки. Computing.co.uk зазначає, що глобальним суб’єктам радять перевіряти інтеграції стороннього коду та посилити механізми перевірки для протидії цим загрозам.
