Открытый код — шпионская база КНДР. Добро пожаловать в разработку Lazarus

В первой половине 2025 года компания Sonatype зафиксировала масштабную и продолжающуюся атаку на экосистему открытого ПО, организованную северокорейской группировкой Lazarus. Впервые автоматизированные системы выявления вредоносного кода Sonatype обнаружили активность злоумышленников, маскирующих вредоносные библиотеки под популярные инструменты для разработчиков. Эти компоненты предназначались не для банального вреда, а для тонкой шпионской деятельности — сбора конфиденциальных данных, анализа инфраструктуры и создания скрытых каналов доступа к системам жертв.

Атака охватила сразу два крупнейших хранилища пакетов с открытым исходным кодом — npm и PyPI. С января по июль специалистам Sonatype удалось заблокировать 234 уникальных вредоносных модуля, каждый из которых был связан с Lazarus. Эти библиотеки выглядели как безобидные утилиты или зависимости для популярных фреймворков, но на деле содержали функциональность для долгосрочного слежения и выведения чувствительной информации за пределы целевых систем. В результате кампании пострадать могли как минимум 36 тысяч пользователей — и эта цифра может расти, учитывая характер распространения вредоносного кода в CI/CD-процессах.

Группировка Lazarus, известная также как Hidden Cobra, работает под контролем северокорейского Разведывательного генерального бюро. За последние десять лет она стояла за рядом громких атак: взломом Sony Pictures в 2014 году, хищением $81 млн из Центрального банка Бангладеш в 2016-м и эпидемией шифровальщика WannaCry в 2017-м. В 2025 году этой же группе приписывают кражу криптовалюты на сумму $1,5 миллиарда с платформы ByBit. Последние действия демонстрируют новую стратегию: от разрушительных атак Lazarus перешла к скрытному и устойчивому внедрению в системы высокого приоритета — особенно в инфраструктуры, основанные на открытом коде.

Именно open source стал идеальной точкой входа. Разработчики по всему миру ежедневно устанавливают пакеты без глубокой проверки, а в большинстве CI/CD-сред срабатывает автоматическая интеграция зависимостей. Маловероятно, что кто-то будет вручную проверять код каждой библиотеки. Тем более, что многие популярные проекты поддерживаются всего одним или двумя энтузиастами, которых легко подменить или взломать. Разработка ведётся в окружениях, где хранятся чувствительные токены и ключи доступа, а вредоносный код может годами оставаться незамеченным.

Именно эта комбинация — доверие к open source, автоматизация процессов и слабая проверка — превратила экосистему в эффективный механизм доставки шпионских инструментов. Lazarus эксплуатирует это системное доверие, внедряя вредоносные библиотеки на всех этапах разработки. Появление вредоносного компонента в одном репозитории может моментально распространиться по десяткам проектов — и оказаться внутри программного обеспечения, стоящего за важнейшими сервисами, включая облачные решения, IoT и внутренние корпоративные системы.

Тем не менее, клиенты Sonatype были защищены от угроз благодаря механизму Repository Firewall, который блокировал опасные зависимости до их попадания в сборочный процесс, а система Lifecycle своевременно уведомляла команды об уже внедрённых уязвимых компонентах. Подобная автоматизированная защита доказала свою эффективность — но инцидент показал, насколько хрупким остаётся фундамент цифрового доверия, если разработчики продолжают воспринимать open source как безопасную по умолчанию среду.

Речь идёт не только о целостности кода. Ставка — безопасность всей цепочки поставок ПО и тех систем, на которых она базируется. Lazarus продемонстрировали, что новые войны разворачиваются не в дата-центрах, а в dev-окружениях. Поэтому разработческое сообщество должно изменить отношение к процессу создания и внедрения ПО: ужесточить верификацию пакетов, внедрить обязательную проверку зависимостей, изолировать подозрительные библиотеки и воспринимать безопасность как критически важную составляющую жизненного цикла продукта.