Die nordkoreanische Hackergruppe Lazarus infizierte GitHub-Repositories und NPM-Pakete mit Schadsoftware, um Kryptowährungen zu stehlen. Die "Operation Marstech Mayhem" zielt auf Entwickler und Nutzer von Krypto-Wallets ab, um Transaktionen umzuleiten und Daten zu exfiltrieren, und betrifft bereits über 200 Organisationen weltweit. Experten warnen vor der zunehmenden Bedrohung durch Open-Source-Malware und staatlich geförderte Cyber-Spionage.
Die staatlich unterstützte nordkoreanische Hackergruppe Lazarus hat GitHub-Repositories und NPM-Pakete mit Schadcode infiziert, um Kryptowährungen zu stehlen. Dies geht aus einer Analyse des STRIKE Teams von SecurityScorecard hervor, über die Bitcoin.com berichtet. (Bitcoin.com)
Die Hacker, die unter dem Pseudonym "Successfriend" operieren, schleusten bösartigen JavaScript-Code in GitHub-Projekte ein und manipulierten NPM-Tools, die von Blockchain-Entwicklern verwendet werden. Die Kampagne, die als "Operation Marstech Mayhem" bezeichnet wird, nutzt Schwachstellen in Software-Lieferketten aus, um die Malware "Marstech1" zu verbreiten. Diese Malware zielt auf Kryptowährungs-Wallets wie Metamask, Exodus und Atomic ab.
Wie Computing.co.uk berichtet, durchsucht Marstech1 infizierte Geräte nach Kryptowährungs-Wallets und manipuliert anschließend die Browsereinstellungen, um Transaktionen heimlich umzuleiten. Durch die Tarnung als harmlose Systemaktivität umgeht der Code Sicherheitsscans und ermöglicht so eine dauerhafte Datenextraktion. Laut Computing.co.uk ist dies bereits der zweite bedeutende GitHub-basierte Angriff im Jahr 2025, der an ähnliche Vorfälle im Januar 2025 erinnert, bei denen Angreifer die Reichweite der Plattform zur Verbreitung von Schadsoftware nutzten.
SecurityScorecard hat 233 kompromittierte Organisationen in den USA, Europa und Asien identifiziert, bei denen seit Juli 2024 Lazarus-verknüpfte Skripte aktiv sind. Im Jahr 2024 verdreifachte sich die Anzahl der Open-Source-Malware-Vorfälle. Ähnliche Strategien wurden im Januar 2025 beobachtet, als gefälschte Python-Bibliotheken, die sich als Deepseek-KI-Tools ausgaben, aus PyPI entfernt wurden, weil sie Anmeldeinformationen von Entwicklern abgegriffen hatten.
Analysten warnen davor, dass solche Angriffe im Jahr 2025 aufgrund der Allgegenwärtigkeit von Open-Source-Software und der vernetzten Entwicklungspipelines deutlich zunehmen könnten. Computing.co.uk verweist auf einen Artikel von Security Week, in dem das Weltwirtschaftsforum (WEF) Sicherheitslücken in der Lieferkette kürzlich als eine der größten Bedrohungen für die Cybersicherheit eingestuft hat.
Die jüngsten Aktivitäten der Lazarus-Gruppe verdeutlichen die fortschrittlichen Taktiken staatlich geförderter digitaler Spionage, die auf wichtige Technologie-Frameworks abzielt. Computing.co.uk rät globalen Unternehmen, die Integration von Drittanbieter-Code genau zu prüfen und die Überprüfungsmechanismen zu verstärken, um diesen Bedrohungen entgegenzuwirken. Auch Baris Dincer, ein Experte für Cybersicherheit, warnt vor der zunehmenden Gefahr durch Malware in Open-Source-Bibliotheken, wie beispielsweise im Fall der "aiocpa"-Malware, die über PyPI verbreitet wurde und Anmeldeinformationen von Kryptowährungs-Nutzern stiehlt (LinkedIn Post von Baris Dincer). Ein weiterer Fall, über den The Hacker News berichtet, betrifft kompromittierte NPM-Pakete von Rspack, die mit Krypto-Mining-Malware infiziert waren. (The Hacker News)
