Nordkoreanische Hacker zielen über GitHub und NPM auf Kryptowährungs-Entwickler

Sicherheitsforscher schlagen Alarm angesichts einer zunehmenden Anzahl von Open-Source-Malware-Angriffen, die der Lazarus-Gruppe zugeschrieben werden. Wie news.bitcoin.com berichtet, hat eine staatlich unterstützte nordkoreanische Cyber-Gruppe GitHub-Repositories und NPM-Module mit bösartigem Code infiziert, um Kryptowährungen zu stehlen. Die Sicherheitsfirma Securityscorecard analysierte diese Kampagne unter dem Namen "Operation Marstech Mayhem".

Die Lazarus-Gruppe schleuste unter dem Pseudonym "Successfriend" schädlichen Javascript-Code in GitHub-Projekte ein und manipulierte NPM-Tools, die von Blockchain-Entwicklern verwendet werden. Diese Initiative nutzt, wie Computing.co.uk beschreibt, Schwachstellen in Software-Lieferketten aus, um die Malware "Marstech1" zu verbreiten. Diese Malware ist darauf ausgelegt, in Kryptowährungs-Wallets wie Metamask, Exodus und Atomic einzudringen.

Marstech1 sucht auf infizierten Geräten nach Kryptowährungs-Wallets und manipuliert anschließend die Browsereinstellungen, um Transaktionen heimlich umzuleiten. Indem sich der Code als harmlose Systemaktivität tarnt, umgeht er Sicherheitsscans und ermöglicht so eine dauerhafte Datenextraktion. Laut Computing.co.uk ist dies der zweite große GitHub-basierte Angriff im Jahr 2025, der die Vorfälle vom Januar 2025 widerspiegelt, bei denen Angreifer die Reichweite der Plattform nutzten, um bösartige Software zu verbreiten.

Securityscorecard verifizierte 233 kompromittierte Organisationen in den USA, Europa und Asien, wobei die mit Lazarus verbundenen Skripte seit Juli 2024 aktiv sind – einem Jahr, in dem sich die Zahl der Open-Source-Malware-Vorfälle verdreifachte. Ähnliche Strategien traten im Januar 2025 auf, als gefälschte Python-Bibliotheken, die sich als Deepseek-KI-Tools tarnten, aus PyPI entfernt wurden, weil sie Anmeldedaten von Entwicklern stahlen. Analysten warnen, dass solche Angriffe im Jahr 2025 aufgrund der Allgegenwärtigkeit von Open-Source und der verflochtenen Entwicklungspipelines deutlich zunehmen könnten. Computing.co.uk erläutert, dass ein Artikel in Security Week auf die jüngste Klassifizierung von Lieferketten-Schwachstellen als eine der größten Cybersecurity-Bedrohungen durch das Weltwirtschaftsforum (WEF) hinwies.

Das neueste Projekt von Lazarus verdeutlicht die fortschrittlichen Taktiken der staatlich geförderten digitalen Spionage, die auf wichtige Technologie-Frameworks abzielt. Computing.co.uk empfiehlt globalen Unternehmen, die Integration von Drittanbieter-Code zu überprüfen und die Überprüfungsmechanismen zu verstärken, um diesen Bedrohungen entgegenzuwirken.

Wie Bitdefender in einem Blogbeitrag vom 21. Juli 2023 berichtet, warnt GitHub vor einer Social-Engineering-Kampagne der Lazarus-Gruppe, die auf Entwicklerkonten in den Bereichen Kryptowährung, Blockchain, Cybersicherheit und Online-Glücksspiel abzielt. Die nordkoreanischen Hacker kompromittieren legitime Konten oder erstellen gefälschte Personas auf GitHub und sozialen Medien, die sich als Recruiter und Entwickler ausgeben. Sie kontaktieren Entwickler und versuchen oft, die Konversation von einer Plattform auf eine andere zu verlagern. Sobald Kontakt hergestellt ist, locken die Angreifer die Opfer zur Mitarbeit an einem GitHub-Repository, entweder öffentlich oder privat. Diese Repositories enthalten oft bösartigen Code, eingebettet in Software mit schädlichen npm-Abhängigkeiten (JavaScript Package Manager), die häufig in Mediaplayern und Tools für den Handel mit Kryptowährungen zu finden sind.

Infosecurity Magazine berichtet am 13. Februar 2025, dass die Lazarus-Gruppe auch NPM-Pakete nutzt, um Krypto-Entwickler anzugreifen. Die Malware "Marstech1" scannt Systeme nach MetaMask-, Exodus- und Atomic-Wallets und modifiziert Browser-Konfigurationsdateien, um stille Payloads einzuschleusen, die Transaktionen abfangen können. Die Gefahr besteht darin, dass Entwickler diese in legitime Software einbauen und damit ein Risiko für potenziell Millionen von nachgelagerten Nutzern darstellen.

SC Media berichtet am 6. Februar 2025, dass die Lazarus-Gruppe Kryptowährungs-Wallets mit einem plattformübergreifenden JavaScript-Stealer angreift. Die Angreifer locken Opfer mit gefälschten Stellenangeboten im Bereich Kryptowährung, Finanzen oder Reisen dazu, ihren Lebenslauf oder GitHub-Link anzugeben. Anschließend teilen sie ein bösartiges Repository mit dem "Minimum Viable Product" des Projekts, das schädlichen Code ausführt, der schließlich zur Bereitstellung von Stealer-Malware führt, die auf Windows-, macOS- und Linux-Systeme abzielt.

Cryptonews berichtet am 13. Februar 2025, dass nordkoreanische Hacker ihre Methoden zur Krypto-Plünderung verbessern, indem sie Malware in GitHub- und NPM-Paketen verstecken. Die Lazarus-Gruppe verändert legitime Softwarepakete, indem sie verschleierte Backdoors einbettet und Entwickler dazu bringt, diese kompromittierten Pakete auszuführen.

Quellen:

• https://news.bitcoin.com/report-lazarus-group-exploits-github-npm-packages-in-cryptocurrency-malware-campaign/
• https://www.bitdefender.com/en-us/blog/hotforsecurity/github-warns-of-lazarus-groups-social-engineering-campaign-targeting-developers
• https://www.infosecurity-magazine.com/news/north-korea-crypto-devs-npm/
• https://www.scworld.com/brief/new-lazarus-group-campaign-targets-cryptocurrency-wallets
• https://cryptorank.io/news/feed/d15fa-n-korean-hackers-boost-crypto-looting-methods-hiding-malware-in-github-npm-packages
• https://www.reversinglabs.com/blog/fake-recruiter-coding-tests-target-devs-with-malicious-python-packages
• https://github.com/tayvano/lazarus-bluenoroff-research
• https://unit42.paloaltonetworks.com/two-campaigns-by-north-korea-bad-actors-target-job-hunters/
• https://cryptonews.net/news/security/30521128/