Sonatype’in otomatik algılama sistemleri, Kuzey Kore Keşif Bürosu tarafından desteklendiğine inanılan bir tehdit aktörü olan kötü şöhretli Lazarus Grubu tarafından küresel açık kaynak ekosisteminin geniş ve sürekli bir şekilde sızmasını ortaya çıkardı.
Ocak ve Temmuz 2025 arasında Sonatype, yaygın olarak kullanılan geliştirici yardımcı programları olarak maskelenen hem NPM hem de PYPI açık kaynaklı kayıtlar aracılığıyla dağıtılan 234 kötü amaçlı yazılım paketini tanımladı ve engelledi.
Meşru kodla sorunsuz bir şekilde karışacak şekilde tasarlanan bu truva atıkları, veri açığa çıkması, kimlik bilgisi hırsızlığı, ana bilgisayar profili ve hayati organizasyonları ve geliştirici ortamlarını hedefleyen kalıcı ağ geri alanlarının oluşturulması amaçlanan casusluk implantları olarak hizmet eder.
Kuzey Kore Eyalet Hacker’ları
Gizli Cobra olarak da izlenen Lazarus, son derece yıkıcı ve finansal olarak zararlı operasyonları düzenlemek için uzun süredir devam eden küresel bir üne sahiptir, özellikle de meşhur 2014 Sony Pictures hack, 2017 Küresel Wannacry Ransomware Azaltma ve en son 2025 $ ‘lık fatura, 2017 Küresel Wannacry Ransomware Azaltma ve son olarak.
Geleneksel olarak yıkıcı saldırılar ve yüksek profilli finansal soygunlarla ilişkili olan Lazarus, şimdi sofistike bir stratejik pivot sergiliyor.
Kolektifin en son kampanyası, infiltrasyon ve uzun vadeli erişim üzerine belirgin bir odaklanma ve modern dijital gelişimin omurgasından yararlanıyor: açık kaynaklı paket kayıtları.
Kampanyanın Sonatype’in yakın zamanda yayınlanan teknik incelemesinde detaylandırılan teknik analizi, saldırganların popüler açık kaynak paketlerini dikkatlice taklit ettiğini, hatta yerleşik marka, sürüm geçmişleri ve belgeleri yakından kopyaladığını gösteriyor.
İmplant kodu, her iki kayıtta statik analiz ve tespitten kaçınmak için akıllıca gizlenmiştir.
Bir geliştiricinin projesine aktarıldıktan sonra, bu kötü niyetli paketler hassas ortam değişkenlerini, kimlik doğrulama jetonlarını, SSH tuşlarını ve dahili API kimlik bilgilerini sessizce toplar.
Gelişmiş yükler, geliştirici iş istasyonlarını profil oluşturabilir, bağlı altyapıyı eşleştirebilir ve ikinci aşamalı modüler kötü amaçlı yazılım sunabilir.
Birçok durumda, bilgisayar korsanları, derin keşif ve gelecekteki saldırı operasyonlarını mümkün kılarak kalıcı erişim sağlamak için uzaktan komut ve kontrol işaretleri kullanırlar.
Casusluk kampanyası 36.000’den fazla geliştiriciyi ortaya çıkarır
Kampanyanın erişimi endişe verici: Sonatype’ın telemetrisine göre, tespit mekanizmaları daha fazla yayılmadan önce 36.000’den fazla geliştirici ve kuruluş potansiyel olarak bu tehlikeye atılmış paketleri kurdu.
Tehlike, sürekli entegrasyon ve sürekli dağıtım (CI/CD) boru hatlarının, genellikle manuel veteriner, kum havuzu veya davranışsal analiz olmadan açık kaynaklı bağımlılıkları tükettiği ve yaydığı günümüz yazılım tedarik zincirlerinin doğası ile daha da yoğunlaşır.
Bu yapısal güvenlik açığı, başarılı bir tedarik zinciri saldırısının patlama yarıçapını güçlendirir ve potansiyel olarak kritik altyapıya, tescilli uygulamalara ve bulut ortamlarına ayrıcalıklı erişim sağlar.
Endüstri uzmanları, Lazarus tarafından sömürülen bazı rahatsız edici sistemik zayıflıklara dikkat çekiyor. Daha hızlı kalkınma döngüleri ve yeni kütüphanelerin hızlı bir şekilde benimsenmesi için, geliştiriciler sıklıkla sadece isim tanıma veya indirme istatistiklerine dayalı paketlere güveniyor ve nadiren temel kodu denetliyorlar.
Açık kaynaklı proje bakımı da oldukça parçalıdır; Sadece bir veya iki kişi tarafından desteklenen birçok popüler proje ile hesap uzlaşma veya proje kaçırma riski sürekli olarak yükselir.
Bu izin veren ortamda, saldırganlar saygın paketleri önemsiz bir şekilde taklit edebilir veya terk edilmiş projelere kötü amaçlı yazılımlar enjekte edebilir ve herhangi bir tipik uygulamadaki bağımlılık hacminin implant sürelerini gizleyeceğine bahse girebilir.
Rapora göre, Lazarus’un en son taktikleri devlet destekli siber-tetikte önemli bir evrime işaret ediyor.
Basitçe bozmaya veya zorlamaya çalışan önceki kampanyaların aksine, bu operasyon gizli erişim ve sırların çalınmasına odaklanır ve kimlik bilgileri ve bulut izinleri işletmeler ve kritik altyapı içindeki “krallığın anahtarları” olarak hareket eden geliştiricileri hedefler.
Finans ve enerjiden kamu hizmetlerine kadar her sektörde açık kaynaklı yazılımların yaygınlaşmasıyla, bu sızmanın sonuçları küresel ve geniş kapsamlıdır.
Sonatype teknik incelemesinde vurgulanan öneriler, kuruluşları daha katı bağımlılık yönetimini uygulamaya, dahili paketler için imzalama ve şüpheli paket etkinliğini gerçek zamanlı olarak tespit edebilen davranışsal analiz araçlarını dağıtmaya teşvik eder.
Açık kaynak dijital inovasyonu desteklemeye devam ettikçe, bu Lazarus kampanyası, yazılım tedarik zinciri korumasının jeopolitik siber çatışmanın gelişen manzarasında merkezi bir zorunluluk haline geldiğini açıkça ortaya koymaktadır.
Yazılım güvenilirliği savaşı artık teorik bir risk değil, tüm teknoloji topluluğunda anında, işbirlikçi ve sürekli savunmalar gerektiren aktif bir ön cephedir.
Find this News Interesting! Follow us on Google News, LinkedIn, and X to Get Instant Updates!