Kuzey Kore destekli Lazarus Grubu tarafından düzenlenen sofistike bir casusluk kampanyası, açık kaynaklı yazılım ekosistemlerine eşi görülmemiş bir ölçekte başarılı bir şekilde sızdı ve güvenilir geliştirici araçlarını siber casusluk silahlarına dönüştürdü.
Kampanya, devlet destekli siber savaşta stratejik bir evrimi temsil ediyor, kötü niyetli kodları doğrudan popüler paket kayıtlarına yerleştiriyor ve modern yazılım geliştirmenin temelini jeopolitik çatışma için bir savaş alanına dönüştürüyor.
Ocak ve Temmuz 2025 arasında, siber güvenlik araştırmacıları, her biri gelişmiş casusluk yeteneklerini barındırırken meşru geliştirici araçlarını taklit etmek için titizlikle hazırlanmış NPM ve PYPI depoları arasında 234 benzersiz kötü amaçlı yazılım paketinin konuşlandırılmasını belgeledi.
Bu kötü niyetli paketler, hassas kimlik bilgilerini çalmak, profil hedef sistemleri çalmak ve kritik altyapı ortamlarında kalıcı arka kapı oluşturmak için tasarlanmış casus implantlar olarak işlev görür.
Operasyonun ölçeği şaşırtıcı, dünya çapında 36.000’den fazla potansiyel kurbanı gösteren ön değerlendirmeler.
Sonatype analistleri, bu kampanyayı otomatik kötü amaçlı yazılım algılama sistemleri aracılığıyla tanımladı ve Lazarus Group’un açık kaynak geliştirme iş akışlarındaki doğal güven ilişkilerini nasıl silahlandırdığını ortaya koydu.
Tehdit aktörleri, geliştiricilerin üçüncü taraf paketlerini nasıl tükettikleri ve entegre ettikleri ve titiz bir doğrulama veya kum havuzu protokolleri olmadan bağımlılıklar kurma uygulamasından yararlanan temel zayıflıklardan yararlandı.
CI/CD boru hattı infiltrasyon mekanizması
Kampanyanın en sinsi yönü, kötü niyetli bağımlılıkların geliştirme ortamlarında otomatik olarak yayıldığı sürekli entegrasyon ve sürekli dağıtım boru hatlarından faydalanmasında yatmaktadır.
Bir projenin bağımlılık ağacına gömüldüğünde, kötü amaçlı yazılım, çevresel değişken hasat ve dosya sistemi keşif yoluyla hassas geliştirme kimlik bilgilerine, API jetonlarına ve tescilli kaynak koduna sürekli erişim sağlar.
# Example malicious package behavior pattern
import os
def collect_env_secrets():
sensitive_vars = ['AWS_SECRET_KEY', 'DATABASE_URL', 'API_TOKEN']
return {var: os.getenv(var) for var in sensitive_vars if os.getenv(var)}Enfekte olmuş paketler, meşru arayüzler sunarken kötü niyetli işlevlerini korur ve kurumsal ortamlarda uzun süreler boyunca tespit edilmemelerini sağlar.
Bu kalıcılık mekanizması, uzun vadeli zeka toplama operasyonlarını sağlar ve tehlikeye atılmış CI/CD boru hatlarını Kuzey Kore siber operasyonları için kalıcı casusluk altyapısına dönüştürür.
Entegre etmek Herhangi biri. Gelişmiş tehditleri analiz etmek için siem veya soar ile -> 50 ücretsiz deneme aramasını deneyin