近几个月来，北朝鲜通过NPM供应链攻击针对加密开发者。这是一场由臭名昭著的拉撒路集团策划的高度复杂的全球活动，目的是通过供应链攻击窃取资金和数据。

自2024年8月起，该集团开始将恶意JavaScript嵌入GitHub代码库和NPM软件包中。这一行动被称为Marstech Mayhem，恶意软件的名称为Marstech1，《计算机新闻》报道。

更重要的是，Marstech1针对流行的加密货币钱包。多项报告指出了MetaMask、Exodus和Atomic等钱包。

恶意代码在系统中悄无声息地进入，扫描Windows、macOS和Linux系统中的钱包，控制浏览器配置文件，并开始拦截交易和提取元数据。

这种方法增加了恶意代码传播的风险，从而显著提高了对全球软件供应链的威胁。其他用户可能在不知情的情况下下载了被攻击的软件包，将其引入不同的应用程序，从而使无数其他用户面临危险。

北朝鲜黑客发起的新一波npm包攻击：北朝鲜团伙在有针对性的攻击中利用npm包，针对开发者和加密货币钱包浏览器扩展。来源：Shah Sheikh (@shah_sheikh)，2024年8月29日

北朝鲜针对加密开发者的全球行动

据《注册中心》报道，据信是拉撒路的该团伙在GitHub代码库和NPM软件包中隐藏恶意的JavaScript植入，这些代码库和软件包通常被加密开发者和Web3开发者使用。

NPM是Node.js平台的默认包管理器，用于安装、发布和管理Node.js软件包。事实上，依据Contrast Security的数据，NPM“是全球最大的编程语言代码库。”

网络安全公司SecurityScorecard在1月30日的一份报告中指出，拉撒路一直在通过嵌入模糊的后门，修改合法软件包，然后诱骗开发者执行这些被攻击的软件包。

报告提到：“对于未受过训练的眼睛来说，受害者不会注意到，并成功执行。这些软件包可能涉及从加密货币应用到身份验证解决方案的各种内容。”

来源：SecurityScorecard

SecurityScorecard发现，在2024年9月至2025年1月期间，233位确认的个体受害者已安装新的Marstech1植入代码。该代码的许多特征“展示了北朝鲜不断发展的技术手段，”报告表示。

更重要的是，植入代码目前具有多个混淆层，展示了其不断努力提升技术和保持检测措施前沿的能力。

因此，加密/ Web3开发者对NPM的依赖，加上Marstech1的隐蔽性，构成了巨大的风险。

报告称：“这项分析明确表明，拉撒路正在策划一场针对全球加密货币行业及开发者的全球性行动。”这场运动导致数百名受害者下载并执行了有效载荷，而在背后，泄露的数据正被悄然送回平壤。