Le Groupe Lazarus Exploite GitHub et NPM pour Propager des Malwares

Posted on February 13, 2025
Le groupe de hackers parrainé par l’État nord-coréen, Lazarus, a lancé une campagne de cyberattaques sophistiquée ciblant les développeurs de logiciels et les utilisateurs de cryptomonnaies, selon l’équipe STRIKE de SecurityScorecard. Cette campagne, baptisée Opération Marstech Mayhem, exploite les dépôts GitHub et les paquets NPM pour diffuser des malwares indétectables, constituant ainsi une menace majeure pour la chaîne d’approvisionnement des logiciels à l’échelle mondiale.

Lazarus injecte du code JavaScript malveillant dans des dépôts GitHub sous le profil SuccessFriend et cache également des malwares dans des paquets NPM couramment utilisés par les développeurs de cryptomonnaies et Web3. Cette technique augmente considérablement le risque de compromettre les dépendances logicielles et de propager du code malveillant dans l’écosystème numérique.

Le malware, identifié sous le nom Marstech1, cible spécifiquement les portefeuilles de cryptomonnaies comme MetaMask, Exodus et Atomic. Une fois installé, il analyse les systèmes infectés à la recherche de ces portefeuilles et modifie les fichiers de configuration du navigateur pour intercepter discrètement les transactions.

SecurityScorecard rapporte que ce code JavaScript malveillant est actif depuis juillet 2024, une année où les attaques contre les logiciels open source ont triplé. Jusqu’à présent, au moins 233 victimes ont été confirmées aux États-Unis, en Europe et en Asie.

Cette attaque s’inscrit dans une tendance croissante des menaces de cybersécurité liées à la chaîne d’approvisionnement. Récemment, des chercheurs en sécurité ont identifié et supprimé des paquets Python malveillants sur PyPI qui se faisaient passer pour des bibliothèques légitimes de DeepSeek AI tout en volant des informations d’identification sensibles aux développeurs.

Les experts prévoient une augmentation des attaques contre les projets open source cette année en raison de leur adoption généralisée. Le Forum économique mondial a également identifié les interconnexions dans la chaîne d’approvisionnement logicielle comme un risque majeur en matière de cybersécurité, appelant l’industrie à renforcer les pratiques de sécurité pour atténuer ces menaces en constante évolution.

Source: Computing

La European Cyber Intelligence Foundation est un think tank à but non lucratif spécialisé dans le renseignement et la cybersécurité, offrant des services de conseil aux entités gouvernementales. Pour atténuer les menaces potentielles, il est important de mettre en œuvre des mesures supplémentaires de cybersécurité avec l’aide d’un partenaire de confiance comme INFRA www.infrascan.net, ou vous pouvez essayer vous-même en utilisant check.website.