​Kötü niyetli kod keşfedildi: NPM paketlerinde ve GitHub commitlerinde Lazarus grubuna bağlı hesapla ilişkilendirildi. Şimdiye kadar 200’den fazla kurban teyit edildi.

Kuzey Kore devlet destekli kötü şöhretli bir hacker grubu olan Lazarus, yazılım ve Web3 geliştiricilerini hedefleyen bir kampanya yürütüyor. SecurityScorecard’dan STRIKE’taki siber güvenlik araştırmacıları, zararlı yazılımların GitHub depolarına ve NPM paketlerine gömülmesini gözlemlediklerini belirtti. Bu zararlı yazılımlar, farkında olmayan geliştiriciler tarafından alınıp kendi projelerine entegre ediliyor. Kampanyaya Marstech Mayhem adı verildi çünkü dağıtılan kötü amaçlı yazılım Marstech1 olarak adlandırılıyor.

Zararlı yazılım NPM paketleri içinde dağıtılıyor ve kripto para ve Web3 projeleri tarafından “geniş çapta kullanılıyor”. Marstech1 yüklendikten sonra, sistemleri MetaMask, Exodus ve Atomic cüzdanları için tarama yaparak işlemleri ele geçirebilen gizli yükler enjekte eden tarayıcı yapılandırma dosyalarını değiştiriyor. STRIKE şu ana kadar ABD, Avrupa ve Asya genelinde en az 233 kurbanı doğruladı.

SecurityScorecard’ın Tehdit Araştırma ve İstihbarat Kıdemli Başkan Yardımcısı Ryan Sherstobitoff, Marstech1 implantının JavaScript’te kontrol akışı basitleştirme ve dinamik değişken yeniden adlandırma, Python’da çok aşamalı XOR şifre çözme gibi “katmanlı bulanıklaştırma teknikleri” ile geldiğini söyledi. kuruluşları ve geliştiricileri, sofistike saldırganlar gibi Lazarus gibi riskleri azaltmak için proaktif güvenlik önlemleri benimsemeye, tedarik zinciri faaliyetlerini sürekli olarak izlemeye ve ileri tehdit istihbaratı çözümlerini entegre etmeye çağırdı.