04/08/25
Впервые автоматизированные системы выявления вредоносного кода Sonatype обнаружили активность злоумышленников, маскирующих вредоносные библиотеки под популярные инструменты для разработчиков. Эти компоненты предназначались не для банального вреда, а для тонкой шпионской деятельности — сбора конфиденциальных данных, анализа инфраструктуры и создания скрытых каналов доступа к системам жертв, пишет Securitylab.
Атака охватила сразу два крупнейших хранилища пакетов с открытым исходным кодом — npm и PyPI . С января по июль специалистам Sonatype удалось заблокировать 234 уникальных вредоносных модуля, каждый из которых был связан с Lazarus. Эти библиотеки выглядели как безобидные утилиты или зависимости для популярных фреймворков, но на деле содержали функциональность для долгосрочного слежения и выведения чувствительной информации за пределы целевых систем. В результате кампании пострадать могли как минимум 36 тысяч пользователей — и эта цифра может расти, учитывая характер распространения вредоносного кода в CI/CD-процессах.
Группировка Lazarus, известная также как Hidden Cobra, работает под контролем северокорейского Разведывательного генерального бюро. За последние десять лет она стояла за рядом громких атак: взломом Sony Pictures в 2014 году, хищением $81 млн из Центрального банка Бангладеш в 2016-м и эпидемией шифровальщика WannaCry в 2017-м. В 2025 году этой же группе приписывают кражу криптовалюты на сумму $1,5 миллиарда с платформы ByBit. Последние действия демонстрируют новую стратегию: от разрушительных атак Lazarus перешла к скрытному и устойчивому внедрению в системы высокого приоритета — особенно в инфраструктуры, основанные на открытом коде.
Именно open source стал идеальной точкой входа. Разработчики по всему миру ежедневно устанавливают пакеты без глубокой проверки, а в большинстве CI/CD-сред срабатывает автоматическая интеграция зависимостей. Маловероятно, что кто-то будет вручную проверять код каждой библиотеки. Тем более, что многие популярные проекты поддерживаются всего одним или двумя энтузиастами, которых легко подменить или взломать. Разработка ведётся в окружениях, где хранятся чувствительные токены и ключи доступа, а вредоносный код может годами оставаться незамеченным.
Именно эта комбинация — доверие к open source, автоматизация процессов и слабая проверка — превратила экосистему в эффективный механизм доставки шпионских инструментов. Lazarus эксплуатирует это системное доверие, внедряя вредоносные библиотеки на всех этапах разработки. Появление вредоносного компонента в одном репозитории может моментально распространиться по десяткам проектов — и оказаться внутри программного обеспечения, стоящего за важнейшими сервисами, включая облачные решения, IoT и внутренние корпоративные системы.
