Lazarus csoport beépült a szoftverfejlesztésbe
A Sonatype tanulmány szerint az észak-koreai Lazarus csoport, már nem csak célpontok közvetlen megtámadását végzi, hanem tudatosan belép a nyílt forráskódú ökoszisztémákba, infrastruktúrától független fejlesztési környezetekbe épít be rosszindulatú csomagokat (pl. npm vagy PyPI), és így juttatja el kémprogramjait fejlesztők gépeire és CI/CD pipeline-okra. 2025 első felében a Sonatype automatizált rendszere több mint 234 különböző, Lazarus-hoz köthető malware csomagot blokkolt npm és PyPI repókban. Ezeket ártalmatlan csomagoknak álcázották, az átlagos letöltésszám több tízezer vagy több százezer volt, így potenciálisan több mint 36 000 fejlesztőt ért el a fertőzés veszélye. Számos rosszindulatú csomag tartalmazott olyan, több lépcsőből álló kémmodulokat, amelyek egyszerre képesek például vágólap-adatok gyűjtésére, jelszavak vagy tokenek ellopására, keylogger és képernyőkép-felvevő telepítésére vagy háttérben futó backdoorokat indítani. A Sonatype kiemeli, hogy ez a kampány stratégiai céllal működik: nem gyors pénz ellopás a cél, hanem hosszú távú beágyazódás és felügyelet. A titkok ellopása, az állandó hozzáférés biztosítása és a fejlesztői környezetek kompromittálása jelentős kockázatot jelent a kritikus infrastruktúrákat és üzleti alapú rendszereket illetően.
Jelentős technológiai ugrás, hogy a támadók először hangoztak olyan hiba- vagy exploitmentes csatornákat, amelyek fejlesztői bizalomra építve érik el célpontjaikat. A typosquatting és brand impersonation technikák – amikor jól ismert könyvtárneveket manipulálnak vagy céges belső projektek neveit utánzó csomagokra hivatkoznak – különösen hatékonyak ebben a modellben, mivel a fejlesztők gyakran automatikusan letöltik a függőségeket anélkül, hogy alapos ellenőrzést végeznének rajtuk. A jelentés szerint a védekezéshez elengedhetetlen, hogy a DevSecOps vagy SecOps csapatok többrétegű védelmi stratégiákat építsenek ki, telepítsenek repository-kat, amelyek feltartóztatják a gyanús csomagokat még mielőtt azok bejutnának a build pipeline-ba, folyamatosan monitorozzák a telepített csomagok poszt-install viselkedését – például shell script futtatásokat vagy távoli kódletöltéseket; továbbá előnyben részesítsenek auditált, belső tárolókat, ahol megbízhatóvá vált komponensekkel dolgoznak.
A Lazarus Group 2025-ben új mérföldkőhöz érkezett, amikor a szoftverfejlesztési lánc központi részévé vált a kiberkémkedési támadásában. A nyílt forráskódú komponensekbe való beépülés új típusú, kifinomult fenyegető modellt jelentenek, amely kihívást intéz a fejlesztői bizalom, a CI/CD és a nagyvállalati SDLC biztonságával szemben. A kulcsfontosságú üzenet: a fejlesztői környezetek biztonsága ma már nem csak technológiai probléma – ez stratégiai prioritás kell, hogy legyen minden szervezet számára.
