هک مخازن نرمافزار متنباز توسط هکرهای کره شمالی
به گزارش کارگروه حملات سایبری سایبربان؛ محققان در تحقیقات جدید خود ادعا کردند که هکرهای تحت حمایت دولت کره شمالی، به عنوان بخشی از یک کمپین مداوم که دهها هزار توسعهدهنده را در معرض خطر نظارت و سرقت دادهها قرار داده است، کدهای مخرب را در مخازن نرمافزار متنباز جاسازی کردهاند.
بین ژانویه و ژوئیه 2025، شرکت امنیت سایبری «Sonatype» اعلام کرد که ۲۳۴ بسته مخرب آپلود شده در مخازن کد «npm» و «PyPI» که به طور گسترده استفاده میشوند و به این کمپین مرتبط هستند را مسدود کرده است. این بستهها که ابزارهای توسعهدهنده قانونی را جعل میکردند، برای سرقت اعتبارنامهها، شناسایی دستگاههای قربانیان و ایجاد درهای پشتی طراحی شده بودند. محققان تخمین زدند که این کمپین ممکن است بیش از 36 هزار توسعهدهنده را تحت تأثیر قرار داده باشد.
لازاروس (Lazarus) در آخرین عملیات خود، از شکافهای عمده در زنجیره تأمین نرمافزار متنباز، مانند وابستگی توسعهدهندگان به بستههای تأیید نشده و عدم نظارت بر ابزارهای محبوب که اغلب توسط فقط یک یا دو نفر نگهداری میشوند، استفاده کرد. بسیاری از بستههای مخرب از تاکتیکهای «typosquatting» و جعل هویت برند استفاده و از کتابخانههای شناخته شده یا ابزارهای شرکت تقلید کردند تا توسعهدهندگان و سیستمهای خودکار را برای دانلود آنها فریب دهند. پس از نصب، بستههای مخرب طیف وسیعی از ابزارهای جاسوسی از جمله یک دزدگیر کلیپبورد، کیلاگر، ابزار اسکرینشات و ابزار جمعآوری اطلاعات اعتباری را به کار میگیرند. محققان گفتند که بیش از ۹۰ بسته برای سرقت اسرار و اطلاعات اعتباری ساخته شدهاند، درحالیکه بیش از ۱۲۰ بسته به عنوان دراپر برای ارائه بدافزارهای اضافی عمل میکنند که نشان میدهد استراتژی گستردهتری بر نفوذ و ماندگاری طولانیمدت در شبکه متمرکز است، نه سود مالی سریع.
این کمپین نشاندهنده تکامل تاکتیکهای لازاروس، یک گروه هکری تحت حمایت دولت کره شمالی، است که با بزرگترین سرقتهای ارز دیجیتال جهان، از جمله سرقت ۱.۴ میلیارد دلاری از بایبیت (Bybit) مستقر در دبی در اوایل سال جاری، مرتبط بوده است. سوناتایپ گفت درحالیکه لازاروس از نظر تاریخی بر سرقت مالی متمرکز بوده، عملیات خود را به سمت جاسوسی و دسترسی پنهانی به زیرساختهای حیاتی تغییر داده است.
به نظر میرسد آخرین عملیات به طور خاص توسعهدهندگان را در محیطهای «DevOps» و CI/CD هدف قرار داده است. اگرچه انتساب در عملیاتهای سایبری اغلب بینتیجه است، اما محققان معتقدند که زیرساختها و تاکتیکها به شدت منعکسکننده کمپینهای قبلی مرتبط با لازاروس هستند. عوامل مخرب به طور فزایندهای از مخازن متنباز برای منافع مالی یا جاسوسی سوءاستفاده میکنند. در ماه ژوئیه سال جاری، هکرها با فیشینگ به نگهدارندهی بستهی محبوب npm از طریق یک صفحهی ورود جعلی، به آن نفوذ کردند و به آنها اجازه دادند نسخهی در پشتی کد مورد استفاده در میلیونها پروژه را منتشر کنند. تقریباً در همان زمان، PyPI به کاربران در مورد یک کمپین فیشینگ جداگانه هشدار داد که از یک وبسایت جعلی برای جمعآوری اطلاعات توسعهدهندگان استفاده میکند. این کمپینها به هیچ عامل تهدید خاصی نسبت داده نشدهاند.
سوناتایپ در مورد آخرین کمپین گفت:
«لازاروس در حال تبدیل اکوسیستمهای متنباز به مکانیسمهای تحویل پیچیده برای جاسوسی سایبری است. چنین حملاتی نشانهای واضح از این است که اعتماد ذاتی در جامعهی متنباز به طور فعال برای منافع ژئوپلیتیکی مورد سوءاستفاده قرار میگیرد.»