هک مخازن نرم‌افزار متن‌باز توسط هکرهای کره شمالی

به گزارش کارگروه حملات سایبری سایبربان؛ محققان در تحقیقات جدید خود ادعا کردند که هکرهای تحت حمایت دولت کره شمالی، به عنوان بخشی از یک کمپین مداوم که ده‌ها هزار توسعه‌دهنده را در معرض خطر نظارت و سرقت داده‌ها قرار داده است، کدهای مخرب را در مخازن نرم‌افزار متن‌باز جاسازی کرده‌اند.

بین ژانویه و ژوئیه 2025، شرکت امنیت سایبری «Sonatype» اعلام کرد که ۲۳۴ بسته مخرب آپلود شده در مخازن کد «npm» و «PyPI» که به طور گسترده استفاده می‌شوند و به این کمپین مرتبط هستند را مسدود کرده است. این بسته‌ها که ابزارهای توسعه‌دهنده قانونی را جعل می‌کردند، برای سرقت اعتبارنامه‌ها، شناسایی دستگاه‌های قربانیان و ایجاد درهای پشتی طراحی شده بودند. محققان تخمین زدند که این کمپین ممکن است بیش از 36 هزار توسعه‌دهنده را تحت تأثیر قرار داده باشد.

لازاروس (Lazarus) در آخرین عملیات خود، از شکاف‌های عمده در زنجیره تأمین نرم‌افزار متن‌باز، مانند وابستگی توسعه‌دهندگان به بسته‌های تأیید نشده و عدم نظارت بر ابزارهای محبوب که اغلب توسط فقط یک یا دو نفر نگهداری می‌شوند، استفاده کرد. بسیاری از بسته‌های مخرب از تاکتیک‌های «typosquatting» و جعل هویت برند استفاده و از کتابخانه‌های شناخته شده یا ابزارهای شرکت تقلید کردند تا توسعه‌دهندگان و سیستم‌های خودکار را برای دانلود آنها فریب دهند. پس از نصب، بسته‌های مخرب طیف وسیعی از ابزارهای جاسوسی از جمله یک دزدگیر کلیپ‌بورد، کی‌لاگر، ابزار اسکرین‌شات و ابزار جمع‌آوری اطلاعات اعتباری را به کار می‌گیرند. محققان گفتند که بیش از ۹۰ بسته برای سرقت اسرار و اطلاعات اعتباری ساخته شده‌اند، درحالی‌که بیش از ۱۲۰ بسته به عنوان دراپر برای ارائه بدافزارهای اضافی عمل می‌کنند که نشان می‌دهد استراتژی گسترده‌تری بر نفوذ و ماندگاری طولانی‌مدت در شبکه متمرکز است، نه سود مالی سریع.

این کمپین نشان‌دهنده تکامل تاکتیک‌های لازاروس، یک گروه هکری تحت حمایت دولت کره شمالی، است که با بزرگ‌ترین سرقت‌های ارز دیجیتال جهان، از جمله سرقت ۱.۴ میلیارد دلاری از بای‌بیت (Bybit) مستقر در دبی در اوایل سال جاری، مرتبط بوده است. سوناتایپ گفت درحالی‌که لازاروس از نظر تاریخی بر سرقت مالی متمرکز بوده، عملیات خود را به سمت جاسوسی و دسترسی پنهانی به زیرساخت‌های حیاتی تغییر داده است.

به نظر می‌رسد آخرین عملیات به طور خاص توسعه‌دهندگان را در محیط‌های «DevOps» و CI/CD هدف قرار داده است. اگرچه انتساب در عملیات‌های سایبری اغلب بی‌نتیجه است، اما محققان معتقدند که زیرساخت‌ها و تاکتیک‌ها به شدت منعکس‌کننده کمپین‌های قبلی مرتبط با لازاروس هستند. عوامل مخرب به طور فزاینده‌ای از مخازن متن‌باز برای منافع مالی یا جاسوسی سوءاستفاده می‌کنند. در ماه ژوئیه سال جاری، هکرها با فیشینگ به نگهدارنده‌ی بسته‌ی محبوب npm از طریق یک صفحه‌ی ورود جعلی، به آن نفوذ کردند و به آن‌ها اجازه دادند نسخه‌ی در پشتی کد مورد استفاده در میلیون‌ها پروژه را منتشر کنند. تقریباً در همان زمان، PyPI به کاربران در مورد یک کمپین فیشینگ جداگانه هشدار داد که از یک وب‌سایت جعلی برای جمع‌آوری اطلاعات توسعه‌دهندگان استفاده می‌کند. این کمپین‌ها به هیچ عامل تهدید خاصی نسبت داده نشده‌اند.

سوناتایپ در مورد آخرین کمپین گفت:

«لازاروس در حال تبدیل اکوسیستم‌های متن‌باز به مکانیسم‌های تحویل پیچیده برای جاسوسی سایبری است. چنین حملاتی نشانه‌ای واضح از این است که اعتماد ذاتی در جامعه‌ی متن‌باز به طور فعال برای منافع ژئوپلیتیکی مورد سوءاستفاده قرار می‌گیرد.»