Le groupe Lazarus de Corée du Nord diffuse des logiciels malveillants de vol de cryptomonnaie via GitHub et des paquets NPM. Le logiciel malveillant "Marstech1" cible les portefeuilles Exodus et Atomic sous Linux, macOS et Windows. Les chercheurs ont confirmé 233 victimes, exhortant les développeurs à surveiller la sécurité de la chaîne d'approvisionnement.Depuis quelques années, les attaques de type "supply chain" ou chaîne d'approvisionnement sont devenues un sujet de préoccupation croissant pour les développeurs et les responsables de la sécurité informatique. En novembre 2024, une vague de logiciels malveillants a ciblé le registre Node Package Manager (NPM), qui est largement utilisé dans l'écosystème JavaScript. Dans ce cadre, des centaines de bibliothèques (ou "packages") ont été publiées avec un seul objectif : infecter les machines des développeurs et propager des logiciels malveillants.
Récemment, des chercheurs auraient découvert une opération très avancée de la Corée du Nord qui introduit en douce des logiciels malveillants de vol de cryptomonnaie dans des logiciels open-source. Cette campagne furtive est conçue pour diffuser des logiciels malveillants et mettre en danger les utilisateurs qui ne se doutent de rien.
Les chercheurs STRIKE de SecurityScorecard ont déclaré que le groupe Lazarus de Corée du Nord diffusait un code malveillant « indétectable » via GitHub et des paquets NPM dans le cadre de l'opération Marstech Mayhem. L'équipe a déclaré : "Les développeurs intègrent sans le savoir des dépôts infectés dans leurs projets, ce qui met en péril les portefeuilles de cryptomonnaie et les chaînes d'approvisionnement en logiciels."
STRIKE a découvert que le groupe avait conçu un implant avancé, dont le nom de code est "marstech1". Ils ont ajouté : "Cet outil de pointe marque une évolution significative par rapport aux itérations précédentes déployées dans les campagnes mondiales contre les développeurs, et présente des améliorations fonctionnelles uniques qui le distinguent nettement des autres."
Selon des chercheurs en cybersécurité, le profil GitHub de SuccessFriend, lié au tristement célèbre Groupe Lazarus, a injecté des implants JavaScript dans des référentiels, en les mélangeant avec du code légitime. Pour compliquer encore les choses, le profil a également injecté du code inoffensif, ce qui rend encore plus difficile la détection de ses intentions hostiles. Cet implant JavaScript cible spécifiquement les portefeuilles de cryptomonnaie Exodus et Atomic sous Linux, macOS et Windows. Une fois installé, l'acteur de la menace nord-coréen analyse le système à la recherche de portefeuilles de cryptomonnaies, tentant de lire le contenu des fichiers ou d'extraire des métadonnées pour voler des informations sensibles.🚨 North Korea’s @Lazarus Group is Targeting Developers—Again 🚨
— SecurityScorecard (@security_score) February 13, 2025
The STRIKE team just uncovered Operation Marstech Mayhem—a new malware campaign spreading through @GitHub and NPM packages. Developers are unknowingly pulling infected repositories into their projects, putting… pic.twitter.com/1Cic14u1NP
Jusqu'à présent, STRIKE a confirmé que 233 victimes ont été touchées aux États-Unis, en Europe et en Asie. Ryan Sherstobitoff, vice-président de SecurityScorecard chargé de la recherche et du renseignement sur les menaces, a déclaré : "L'introduction de l'implant Marstech1, avec ses techniques d'obscurcissement en couches - de l'aplatissement du flux de contrôle et du renommage dynamique des variables en JavaScript au décryptage XOR en plusieurs étapes en Python - souligne l'approche sophistiquée de l'acteur de la menace pour éviter à la fois l'analyse statique et l'analyse dynamique."
Sherstobitoff a souligné l'importance de rester à l'affût de ces menaces, en exhortant les organisations et les développeurs à prendre des mesures de sécurité proactives. Il a ajouté que les organisations devaient "surveiller en permanence les activités de la chaîne d'approvisionnement et intégrer des solutions avancées de renseignement sur les menaces afin d'atténuer les risques."
En septembre 2024, le FBI a publié un avis avertissant que la Corée du Nord avait agressivement ciblé les entreprises et les sociétés de cryptomonnaies, dans le but de financer potentiellement ses ambitions nationales, y compris le développement de missiles et d'armes nucléaires. En outre, [URL="https://securite.developpez.com/actu/362696/Des-faux-tests-de-competences-en-codage-Python-pour-les-developpeurs...
La fin de cet article est réservée aux abonnés. Soutenez le Club Developpez.com en prenant un abonnement pour que nous puissions continuer à vous proposer des publications.