Sicherheitsforscher haben bösartigen Code in NPM-Paketen und GitHub-Commits entdeckt. Der Code wurde mit einem von Lazarus betriebenen Konto verknüpft. Bisher wurden mehr als 200 Opfer bestätigt.

Ein berüchtigter, staatlich unterstützter Bedrohungsakteur aus Nordkorea, die Lazarus-Gruppe, führt eine Kampagne gegen Software- und Web3-Entwickler mit „unerkanntem“ Schadcode durch. Cybersecurity-Forscher bei STRIKE von SecurityScorecard berichteten, dass sie beobachtet haben, wie Malware in GitHub-Repositories und NPM-Paketen eingebettet wurde, wo ahnungslose Entwickler diese aufnehmen und in ihre eigenen Projekte integrieren. Der Kampagne wurde der Name Marstech Mayhem gegeben, da die bereitgestellte Malware Marstech1 genannt wird. Die Forscher konnten bisher mindestens 233 Opfer in den USA, Europa und Asien bestätigen.

Die Malware wird laut STRIKE in NPM-Paketen verteilt, die von Kryptowährungs- und Web3-Projekten „weit verbreitet“ genutzt werden. Die Malware zielt darauf ab, Kryptowährungen wie MetaMask, Exodus und Atomic Wallets zu stehlen und wird von Lazarus verwendet, um die nordkoreanische Regierung zu finanzieren. STRIKE hat es bisher geschafft, mindestens 233 Opfer in den USA, Europa und Asien zu bestätigen. Ryan Sherstobitoff, SVP für Bedrohungsprojektion und -intelligenz bei SecurityScorecard, sagte, dass das Marstech1-Implantat über „schichtweise Verschleierungstechniken“ verfügt. Organisationen und Entwickler werden dazu aufgefordert, proaktive Sicherheitsmaßnahmen zu ergreifen, ihre Lieferkettenaktivitäten kontinuierlich zu überwachen und fortschrittliche Bedrohungsinformationssysteme zu integrieren, um das Risiko vor raffinierten Angreifern wie Lazarus zu mindern.