Sofistike bir siber casusluk kampanyası, yazılım geliştiricileri, dünyanın en büyük açık kaynak paket depolarından ikisine sızdı, Kuzey Kore’nin kötü şöhretli Lazarus Group’u NPM ve PYPI ekosistemlerinde 234 kötü amaçlı paket kurdu.
Ocak ve Temmuz 2025 arasında, bu devlet destekli operasyon, 36.000’den fazla potansiyel kurbanı uzun vadeli gözetim ve kimlik bilgisi hırsızlığı için tasarlanmış ileri kötü amaçlı yazılımlara maruz bıraktı.
Kötü niyetli paketler, meşru geliştirici araçları olarak maskelenerek, geliştiricilerin açık kaynak ekosistemlerine yerleştirdiği doğal güvenden yararlandı.
Bu silahlandırılmış bileşenler, casusluk implantları olarak işlev gördü, hassas sırları çalmak, profil hedef ana bilgisayarları çalmak ve kalıcı alt kapıları kritik altyapı sistemlerine kurmak için tasarlandı.
Kampanya, ulus devlet siber savaşında stratejik bir evrimi temsil ederek günlük kalkınma iş akışlarını saldırı vektörlerine dönüştürüyor.
Sonatype analistleri, tehdit oyuncusunu Keşif Genel Bürosu ile ilişkili Kuzey Koreli devlet destekli bir kolektif olan Hidden Cobra olarak da bilinen Lazarus Grubu olarak tanımladı.
Bu grubun on yıl süren ceza portföyü, 2014 Sony Pictures Breach, 2016 Bangladeş Bankası soygunu ve yıkıcı 2017 WannaCry Fidye Yazılımı salgını gibi yüksek profilli saldırıları içeriyor.
Son zamanlarda, 2025’te 1,5 milyar dolarlık Bybit kripto para hırsızlığını düzenlediler. Saldırı metodolojisi, açık kaynak ekosistemlerinde birkaç kritik güvenlik açıklarından yararlandı.
Geliştiriciler, kapsamlı doğrulama veya kum havuzu protokolleri olmadan paketleri rutin olarak yüklerken, otomatik CI/CD sistemleri, insan gözetimi olmadan geliştirme boru hatları boyunca kötü niyetli bağımlılıkları yayar.
Genellikle sadece bir veya iki kişi tarafından korunan birçok popüler projenin merkezi olmayan doğası, kimliğe bürünme ve uzlaşma fırsatları yaratır.
Kalıcılık ve Kaçınma Mekanizmaları
Lazarus Grubu, modüler yük sunumu ve altyapı kaçırma tekniklerine odaklanan sofistike kalıcılık taktikleri kullandı.
Kötü amaçlı yazılımları, ilk paket kurulumunun sonraki geliştirme faaliyetleri sırasında etkinleştirilecek uykuda olan kodu tetiklediği çok aşamalı bir enfeksiyon işlemi kullanmıştır.
Kötü niyetli bileşenler, meşru geliştirme araçlarıyla sorunsuz bir şekilde entegre olmuş ve tespiti geleneksel güvenlik tarama yöntemleriyle son derece zorlaştırır.
Bu paketler tarafından kurulan kalıcı arka kapı, uzun süreli erişim kanalları oluşturdu ve uzatılmış dönemlerde tespit edilmemiş, hassas kimlik bilgileri, API jetonları ve özel kaynak kodu içeren uzlaşmış geliştirici ortamlarından sürekli veri açığa çıkmasına izin verdi.
Entegre etmek Herhangi biri. Gelişmiş tehditleri analiz etmek için siem veya soar ile -> 50 ücretsiz deneme aramasını deneyin