Sonatype’in otomatik kötü amaçlı yazılım algılama sistemleri, gizli Cobra olarak da bilinen Kuzey Kore destekli Lazarus Grubu tarafından düzenlenen büyük ölçekli ve devam eden siber sızma kampanyası açığa çıkardı.
Ocak ve Temmuz 2025 arasında Sonatype, NPM ve PYPI gibi popüler açık kaynaklı kayıtlarda bu devlet destekli tehdit aktörüne atfedilen 234 benzersiz kötü amaçlı yazılım paketini tanımladı ve engelledi.
Genellikle meşru geliştirici araçları olarak gizlenmiş olan bu kötü niyetli paketler, hassas verileri çalma, profilden ödün verilen ana bilgisayarlar oluşturma ve kalıcı alt kapıları kritik altyapıya kurmak için casusluk implantları olarak tasarlanmıştır.
Kampanya, 36.000’den fazla potansiyel kurbanı belirledi ve sayı yükselmeye devam ediyor ve açık kaynaklı yazılımın jeopolitik siber çatışmalar için bir savaş alanı olarak silahlanmasında önemli bir yükseliş işaret ediyor.
Hedefler Açık Kaynak Ekosistemler
Kuzey Kore’nin Keşif Genel Bürosu’na bağlı Lazarus Grubu, son on yılda 2014 Sony Pictures Hack, 2016 Bangladeş bankası soygunu ve yıkıcı 2017 Wannacry fidye yazılımı salgınları da dahil olmak üzere yüksek profilli siber saldırılardan oluşan kötü bir geçmişe sahip.
2025’te, 1.5 milyar dolarlık şaşırtıcı Bybit kripto para hırsızlığına da bağlandılar. Daha önceki operasyonları bozulmaya odaklanırken, son faaliyetler uzun süreli sızma ve casusluk için stratejik bir pivot olduğunu göstermektedir.
Açık kaynaklı ekosistemleri hedefleyen en son kampanyaları, yüksek değerli hedeflere kalıcı erişimi sürdürmek için özel kötü amaçlı yazılım, modüler yükler ve sofistike altyapı kaçırma tekniklerinin kullanımı da dahil olmak üzere gelişmiş taktikleri sergiliyor.
Kötü amaçlı kodları doğrudan yaygın olarak kullanılan paket kayıtlarına yerleştirerek, Lazarus, yazılım geliştirme yaşam döngüsünde, özellikle geliştirici ortamlarında ve CI/CD boru hatlarında, genellikle doğrulanmamış bağımlılıkları otomatik olarak yayan CI/CD boru hatlarında kullanır.
Büyük sızma
Bu işlem, siber casusluk ve kimlik bilgisi hırsızlığı için bir vektör olarak açık kaynaklı yazılımın ortaya koyduğu benzersiz riskleri vurgulamaktadır.
Geliştiriciler sık sık paketleri yeterli doğrulama veya kum havuzu olmadan yükler ve ortamlarını uzun süre tespit edilmeyen kötü amaçlı kodlara maruz kalırlar.
Dahası, birçok popüler açık kaynaklı proje küçük ekipler veya hatta bekar bireyler tarafından korunur, bu da onları kimliğe bürünme veya uzlaşma için birincil hedefler haline getirir.
Geliştirici sistemleri genellikle çalındıktan sonra saldırganlara daha geniş organizasyonel altyapıya erişim sağlayan duyarlı kimlik bilgileri ve jeton barındırır.
CI/CD sistemlerinin otomatik doğası, kötü niyetli bağımlılıklar, bina boru hatlarına hızla yayılabileceği ve saldırının erişimini ve etkisini artırabileceğinden sorunu şiddetlendirir.
Lazarus’un yaklaşımı, bu zayıflıkların derin bir şekilde anlaşılmasını gösterir ve iyi huylu kamu hizmetleri olarak gizlenmiş casusluk araçlarını sunmak için açık kaynaklı toplulukların doğasında var olan güveni kullanır.
Sonatype’ın bulguları, kuruluşların yazılım tedarik zincirlerini korumak için güçlü güvenlik önlemleri almalarına dair acil ihtiyacın altını çiziyor.
Bu kampanyanın ölçeği, Lazarus’un gelişen taktiklerinin karmaşıklığı ile birleştiğinde, endüstrinin bağımlılık doğrulaması, kum havuzu testine ve açık kaynaklı bileşenlerin gelişmiş izlenmesine öncelik vermesi için bir uyandırma çağrısı görevi görüyor.
Jeopolitik aktörler giderek daha fazla yazılım geliştirme ekosistemini hedefledikçe, CI/CD boru hatlarını ve geliştirici ortamlarını korumak, casusluk ve veri hırsızlığı için açık kaynak manzarasından yararlanmak isteyen devlet destekli tehditlere karşı kritik bir savunma hattı haline gelmiştir.
Find this News Interesting! Follow us on Google News, LinkedIn, and X to Get Instant Updates!