报告：Lazarus 组织在加密货币恶意软件活动中利用 Github 和 NPM 包

安全研究人员警告与拉撒路集团相关的开源恶意软件攻击激增

根据Computing.co.uk 报告的详细说明，拉撒路集团通过化名“Successfriend”将有害的Javascript注入到Github项目中，同时破坏区块链工程师依赖的NPM工具。这项被称为“Operation Marstech Mayhem”的行动利用软件供应链中的弱点传播名为Marstech1的恶意软件，旨在渗透如Metamask、Exodus和Atomic等钱包。

Marstech1会扫描感染设备寻找加密货币钱包，然后操控浏览器设置以秘密重定向交易。通过将自身伪装为正常系统活动，该代码躲过安全扫描，允许持续的数据提取。Computing.co.uk表示，这代表着2025年第二次重大基于Github的漏洞攻击，类似于2025年1月的事件，当时攻击者利用平台的影响力传播恶意软件。

报告进一步指出，Securityscorecard确认了涵盖美国、欧洲和亚洲的233个被攻陷实体，拉撒路相关脚本自2024年7月起已在运行——这一年开源恶意软件事件增加了三倍。相似策略在2025年1月出现，当时冒充Deepseek AI工具的假冒Python库因窃取开发者登录信息而被PyPI清除。

分析师警告，随着开源的普及和互相交织的开发流水线，2025年此类入侵可能会显著增加。Computing.co.uk解释称，Security Week的文章引用了世界经济论坛（WEF）的最新分类，将供应链漏洞认定为首要的网络安全威胁。

拉撒路集团的新活动体现了政府支持的数字间谍所使用的高级战术，目标是关键的技术框架。Computing.co.uk指出，全球实体被建议仔细检查第三方代码集成并加强审查机制以应对这些威胁。