Открытый код — шпионская база КНДР. Добро пожаловать в разработку Lazarus
NewsMakerПустил зависимость — получил бэкдор, а ещё слежку, дампы, и выход на root.
В первой половине 2025 года компания Sonatype зафиксировала масштабную и продолжающуюся атаку на экосистему открытого ПО, организованную северокорейской группировкой Lazarus . Впервые автоматизированные системы выявления вредоносного кода Sonatype обнаружили активность злоумышленников, маскирующих вредоносные библиотеки под популярные инструменты для разработчиков. Эти компоненты предназначались не для банального вреда, а для тонкой шпионской деятельности — сбора конфиденциальных данных, анализа инфраструктуры и создания скрытых каналов доступа к системам жертв.
Атака охватила сразу два крупнейших хранилища пакетов с открытым исходным кодом — npm и PyPI . С января по июль специалистам Sonatype удалось заблокировать 234 уникальных вредоносных модуля, каждый из которых был связан с Lazarus. Эти библиотеки выглядели как безобидные утилиты или зависимости для популярных фреймворков, но на деле содержали функциональность для долгосрочного слежения и выведения чувствительной информации за пределы целевых систем. В результате кампании пострадать могли как минимум 36 тысяч пользователей — и эта цифра может расти, учитывая характер распространения вредоносного кода в CI/CD-процессах.
Группировка Lazarus, известная также как Hidden Cobra, работает под контролем северокорейского Разведывательного генерального бюро. За последние десять лет она стояла за рядом громких атак: взломом Sony Pictures в 2014 году, хищением $81 млн из Центрального банка Бангладеш в 2016-м и эпидемией шифровальщика WannaCry в 2017-м. В 2025 году этой же группе приписывают кражу криптовалюты на сумму $1,5 миллиарда с платформы ByBit. Последние действия демонстрируют новую стратегию: от разрушительных атак Lazarus перешла к скрытному и устойчивому внедрению в системы высокого приоритета — особенно в инфраструктуры, основанные на открытом коде.
Именно open source стал идеальной точкой входа. Разработчики по всему миру ежедневно устанавливают пакеты без глубокой проверки, а в большинстве CI/CD-сред срабатывает автоматическая интеграция зависимостей. Маловероятно, что кто-то будет вручную проверять код каждой библиотеки. Тем более, что многие популярные проекты поддерживаются всего одним или двумя энтузиастами, которых легко подменить или взломать. Разработка ведётся в окружениях, где хранятся чувствительные токены и ключи доступа, а вредоносный код может годами оставаться незамеченным.
Именно эта комбинация — доверие к open source, автоматизация процессов и слабая проверка — превратила экосистему в эффективный механизм доставки шпионских инструментов. Lazarus эксплуатирует это системное доверие, внедряя вредоносные библиотеки на всех этапах разработки. Появление вредоносного компонента в одном репозитории может моментально распространиться по десяткам проектов — и оказаться внутри программного обеспечения, стоящего за важнейшими сервисами, включая облачные решения, IoT и внутренние корпоративные системы.
Тем не менее, клиенты Sonatype были защищены от угроз благодаря механизму Repository Firewall, который блокировал опасные зависимости до их попадания в сборочный процесс, а система Lifecycle своевременно уведомляла команды об уже внедрённых уязвимых компонентах. Подобная автоматизированная защита доказала свою эффективность — но инцидент показал, насколько хрупким остаётся фундамент цифрового доверия, если разработчики продолжают воспринимать open source как безопасную по умолчанию среду.
Речь идёт не только о целостности кода. Ставка — безопасность всей цепочки поставок ПО и тех систем, на которых она базируется. Lazarus продемонстрировали, что новые войны разворачиваются не в дата-центрах, а в dev-окружениях. Поэтому разработческое сообщество должно изменить отношение к процессу создания и внедрения ПО: ужесточить верификацию пакетов, внедрить обязательную проверку зависимостей, изолировать подозрительные библиотеки и воспринимать безопасность как критически важную составляющую жизненного цикла продукта.
В первой половине 2025 года компания Sonatype зафиксировала масштабную и продолжающуюся атаку на экосистему открытого ПО, организованную северокорейской группировкой Lazarus . Впервые автоматизированные системы выявления вредоносного кода Sonatype обнаружили активность злоумышленников, маскирующих вредоносные библиотеки под популярные инструменты для разработчиков. Эти компоненты предназначались не для банального вреда, а для тонкой шпионской деятельности — сбора конфиденциальных данных, анализа инфраструктуры и создания скрытых каналов доступа к системам жертв.
Атака охватила сразу два крупнейших хранилища пакетов с открытым исходным кодом — npm и PyPI . С января по июль специалистам Sonatype удалось заблокировать 234 уникальных вредоносных модуля, каждый из которых был связан с Lazarus. Эти библиотеки выглядели как безобидные утилиты или зависимости для популярных фреймворков, но на деле содержали функциональность для долгосрочного слежения и выведения чувствительной информации за пределы целевых систем. В результате кампании пострадать могли как минимум 36 тысяч пользователей — и эта цифра может расти, учитывая характер распространения вредоносного кода в CI/CD-процессах.
Группировка Lazarus, известная также как Hidden Cobra, работает под контролем северокорейского Разведывательного генерального бюро. За последние десять лет она стояла за рядом громких атак: взломом Sony Pictures в 2014 году, хищением $81 млн из Центрального банка Бангладеш в 2016-м и эпидемией шифровальщика WannaCry в 2017-м. В 2025 году этой же группе приписывают кражу криптовалюты на сумму $1,5 миллиарда с платформы ByBit. Последние действия демонстрируют новую стратегию: от разрушительных атак Lazarus перешла к скрытному и устойчивому внедрению в системы высокого приоритета — особенно в инфраструктуры, основанные на открытом коде.
Именно open source стал идеальной точкой входа. Разработчики по всему миру ежедневно устанавливают пакеты без глубокой проверки, а в большинстве CI/CD-сред срабатывает автоматическая интеграция зависимостей. Маловероятно, что кто-то будет вручную проверять код каждой библиотеки. Тем более, что многие популярные проекты поддерживаются всего одним или двумя энтузиастами, которых легко подменить или взломать. Разработка ведётся в окружениях, где хранятся чувствительные токены и ключи доступа, а вредоносный код может годами оставаться незамеченным.
Именно эта комбинация — доверие к open source, автоматизация процессов и слабая проверка — превратила экосистему в эффективный механизм доставки шпионских инструментов. Lazarus эксплуатирует это системное доверие, внедряя вредоносные библиотеки на всех этапах разработки. Появление вредоносного компонента в одном репозитории может моментально распространиться по десяткам проектов — и оказаться внутри программного обеспечения, стоящего за важнейшими сервисами, включая облачные решения, IoT и внутренние корпоративные системы.
Тем не менее, клиенты Sonatype были защищены от угроз благодаря механизму Repository Firewall, который блокировал опасные зависимости до их попадания в сборочный процесс, а система Lifecycle своевременно уведомляла команды об уже внедрённых уязвимых компонентах. Подобная автоматизированная защита доказала свою эффективность — но инцидент показал, насколько хрупким остаётся фундамент цифрового доверия, если разработчики продолжают воспринимать open source как безопасную по умолчанию среду.
Речь идёт не только о целостности кода. Ставка — безопасность всей цепочки поставок ПО и тех систем, на которых она базируется. Lazarus продемонстрировали, что новые войны разворачиваются не в дата-центрах, а в dev-окружениях. Поэтому разработческое сообщество должно изменить отношение к процессу создания и внедрения ПО: ужесточить верификацию пакетов, внедрить обязательную проверку зависимостей, изолировать подозрительные библиотеки и воспринимать безопасность как критически важную составляющую жизненного цикла продукта.