Pereiti prie turinio
Atgal į Kibernetinis saugumas
Kibernetinis saugumas

„Lazarus“ grupė atakuoja programuotojus: 192 kenkėjiški paketai npm ir PyPI ekosistemose

Šiaurės Korėjos hakerių grupė „Lazarus“ vykdo koordinuotą „graphalgo“ kampaniją, per suklastotas darbo pasiūlymus „LinkedIn“ ir „Reddit“ platformose platindama kenkėjišką kodą per npm ir PyPI paketus. Rasta 192 kenkėjiški paketai, vienas jų surinkęs daugiau nei 10 000 atsisiuntimų.

i

icecode.lt

2026 m. vasario 14 d.5 min
„Lazarus“ grupė atakuoja programuotojus: 192 kenkėjiški paketai npm ir PyPI ekosistemose

Nauja „Lazarus" grupės kampanija: kai darbo pasiūlymas tampa kibernetine ataka

Kibernetinio saugumo bendrovė „ReversingLabs" atskleidė plataus masto kenkėjiškų paketų kampaniją, kurią vykdo Šiaurės Korėjos valstybės remiama programišių grupė „Lazarus". Kampanija, pavadinta „graphalgo" – pagal pirmąjį kenkėjišką paketą, publikuotą npm registre – veikia nuo 2025 metų gegužės ir vis dar yra aktyvi.

Tyrėjai nustatė net 192 kenkėjiškus paketus dviejose didžiausiose atvirojo kodo paketų ekosistemose – npm (JavaScript) ir PyPI (Python). Tai viena didžiausių koordinuotų tiekimo grandinės atakų, nukreiptų prieš programuotojus, dirbančius su blokų grandinės ir kriptovaliutų technologijomis.

Socialinės inžinerijos strategija: fiktyvios kompanijos ir darbo pokalbiai

„Lazarus" grupės taktika yra itin rafinuota. Programišiai naudoja profesinių tinklų platformas – „LinkedIn", „Facebook" ir „Reddit" forumus – norėdami užmegzti kontaktą su JavaScript ir Python programuotojais. Aukoms siūlomos darbo pozicijos fiktyvioje kompanijoje „Veltrix Capital", kuri neva veikia blokų grandinės ir kriptovaliutų prekybos srityje.

Kompanijos svetainė, sukurta 2025 metų balandį, atrodo profesionaliai, tačiau nepateikia jokios konkrečios informacijos apie vadovybę ar kontaktinius duomenis. Tai klasikinis socialinės inžinerijos triukas – sukurti patikimą fasadą, kuris įtikintų potencialias aukas.

„Programuotojai yra pasiekiami per socialinių tinklų platformas, tokias kaip „LinkedIn" ir „Facebook", arba per darbo skelbimus forumuose, pavyzdžiui, „Reddit"", – paaiškino „ReversingLabs" tyrėjas Karlo Zanki.

Kontaktas paprastai prasideda nuo darbo pasiūlymo, po kurio aukoms pateikiamos kodavimo užduotys – tariamai kaip darbo pokalbio proceso dalis. Šios užduotys talpinamos „GitHub" saugyklose, kurias valdo patys atakuotojai. Kodavimo projektai atrodo legitimūs, tačiau jų priklausomybėse (dependencies) slepiasi nuorodos į kenkėjiškus npm ir PyPI paketus.

Dviejų etapų atakos mechanizmas

„Graphalgo" kampanijos techninis sudėtingumas rodo aukštą „Lazarus" grupės profesionalumo lygį. Ataka vyksta keliais etapais:

Pirmasis etapas – nekenkėjiška versija. Paketai iš pradžių publikuojami kaip visiškai saugios bibliotekos. Tai leidžia sukaupti atsisiuntimų skaičių ir įgyti programuotojų pasitikėjimą. Pavyzdžiui, npm paketas „bigmathutils" sukaupė daugiau nei 10 000 atsisiuntimų po pirmosios, nekenkėjiškos versijos publikavimo.

Antrasis etapas – kenkėjiškas atnaujinimas. Kai paketas surinkdavo pakankamai vartotojų, atakuotojai išleisdavo atnaujinimą su integruotu kenkėjišku kodu. Šis kodas slėpė kelias netiesioginio nukreipimo sluoksnius per „GitHub", npm ir PyPI platformas.

Kenkėjiško kodo aktyvavimas buvo itin gudrus – jis priklausė nuo konkrečių parametrų, perduodamų per Graph objekto konstruktorių. Pavyzdžiui, sukuriant new Graph({weighted:true, directed:true}), generuojamas iššifravimo raktas „weighted-directed-graph". Tai reiškia, kad kodas lieka neaktyvus, nebent yra pateikiami tikslūs argumentai – kuriuos atakuotojai kontroliavo per savo „GitHub" saugyklas su darbo užduotimis.

Nuotolinės prieigos trojanas ir kriptovaliutų vagystė

Galutinė kenkėjiška programa yra visavertis nuotolinės prieigos trojanas (RAT), turintis platų funkcionalumą:

  • Sistemos informacijos rinkimas
  • Failų ir katalogų peržiūra bei valdymas
  • Vykdomų procesų sąrašo gavimas
  • Aplankų kūrimas, failų pervadinimas ir šalinimas
  • Failų atsisiuntimas ir įkėlimas
  • Savavališkų komandų vykdymas
  • „MetaMask" naršyklės plėtinio aptikimas – tai aiškiai rodo ketinimą vogti kriptovaliutas

Tyrėjai nustatė tris RAT versijas, parašytas skirtingomis programavimo kalbomis – JavaScript, Python ir Visual Basic Script. Trojanas periodiškai jungiasi prie komandų ir valdymo (C2) serverio, naudodamas žetonais (token) apsaugotą autentifikacijos mechanizmą, užtikrinantį, kad tik užklausos su galiojančiais žetonais būtų priimtos.

Kampanijos mastas ir chronologija

Skaičiai byloja apie koordinuotos operacijos mastą:

  • npm paketai: 106 vnt. (57 su „graph" pavadinimuose, 23 su „big")
  • PyPI paketai: 86 vnt. (56 su „graph" pavadinimuose, 30 su „big")
  • Iš viso: 192 kenkėjiški paketai

Kampanijos chronologija atskleidžia nuoseklų planavimą:

  • 2025 m. gegužės 2 d. – pirmasis kenkėjiškas npm paketas „[email protected]"
  • 2025 m. birželio 13 d. – pirmasis PyPI paketas „[email protected]"
  • 2025 m. lapkričio 17 d. – „bignumx" paketų serija npm platformoje
  • 2025 m. gruodžio 9 d. – „big" paketai pasirodo PyPI platformoje
  • 2026 m. vasario 12 d. – naujausios kenkėjiškos versijos „bigmathutils" ir „bigmathix"

Atribucija: kodėl tai siejama su Šiaurės Korėja?

„ReversingLabs" tyrėjai kampaniją priskyrė „Lazarus" grupei remdamiesi keliais įrodymais:

  • Suklastotų darbo pokalbių naudojimas kaip infekcijos vektoriaus – būdingas „Lazarus" grupės metodas
  • Kriptovaliutų sektoriaus taikymas – atitinka ankstesnes operacijas
  • Daugiapakopis kenkėjiškas kodas su sluoksniuota obfuskacija
  • Žetonais apsaugota C2 infrastruktūra
  • Atidėtas aktyvavimas – rodo kantrybę, būdingą šiai grupei
  • Git įrašų laiko zonos – GMT+9, atitinkanti Šiaurės Korėjos laiko juostą

„Lazarus" grupė yra viena aktyviausių valstybės remiamų kibernetinių grėsmių veikėjų pasaulyje. Manoma, kad ji yra atsakinga už daugybę reikšmingų kibernetinių atakų, įskaitant 2017 metų „WannaCry" išpirkos reikalavimo virusą ir daugybę kriptovaliutų platformų apiplėšimų.

Kaip apsisaugoti: rekomendacijos programuotojams

Ši kampanija primena, kad programinės įrangos tiekimo grandinės atakos tampa vis rafinuotesnės. Programuotojams ir organizacijoms rekomenduojama:

  • Kruopščiai tikrinti paketus – prieš įtraukiant naujus paketus į projektus, peržiūrėti jų šaltinio kodą, autorių istoriją ir bendruomenės atsiliepimus
  • Naudoti paketų saugumo įrankius – tokius kaip „ReversingLabs Spectra Assure" ar kitus programinės įrangos kompozicijos analizės (SCA) sprendimus
  • Būti atsargiems su darbo pasiūlymais – ypač kai jie susiję su kriptovaliutomis ir reikalauja vykdyti kodą iš nežinomų šaltinių
  • Tikrinti „GitHub" saugyklas – atkreipti dėmesį į saugyklų amžių, žvaigždučių skaičių ir bendraautorių profilius
  • Stebėti priklausomybes – reguliariai audituoti savo projektų priklausomybių medį (dependency tree)
„Kampanija „graphalgo" yra aktyvi ir nerodo sustojimo ženklų", – perspėja „ReversingLabs" tyrėjai.

Ši situacija dar kartą pabrėžia, kad šiuolaikinėje programinės įrangos kūrimo ekosistemoje kiekvienas atsisiųstas paketas gali tapti atakos vektoriumi. Programuotojų budrumas ir automatizuoti saugumo tikrinimo įrankiai yra būtini norint apsisaugoti nuo vis sudėtingesnių tiekimo grandinės atakų.

Šaltiniai

Dalintis straipsniu

Daugiau naujienų

Kibernetinis saugumas

Dviejų veiksnių autentifikacija (2FA) — kas tai ir kaip apsisaugoti

Dviejų veiksnių autentifikacija (2FA) yra paprasčiausias būdas apsaugoti savo paskyras nuo įsilaužimų. Paaiškinsime, kaip veikia kiekvienas 2FA tipas — nuo SMS kodų iki aparatinių raktų — ir padėsime viską susikonfigūruoti per kelias minutes.