Una sofisticada campaña de espionaje orquestada por el Grupo de Lázaro respaldado por Corea del Norte se ha infiltrado con éxito en ecosistemas de software de código abierto en una escala sin precedentes, transformando las herramientas de desarrolladores confiables en armas de ciber espionaje.
La campaña representa una evolución estratégica en la guerra cibernética patrocinada por el estado, integrando el código malicioso directamente dentro de los registros populares de paquetes y convirtiendo las bases del desarrollo de software moderno en un campo de batalla para conflictos geopolíticos.
Entre enero y julio de 2025, los investigadores de ciberseguridad documentaron el despliegue de 234 paquetes de malware únicos en repositorios de NPM y PYPI, cada uno meticulosamente elaborado para imitar herramientas legítimas de desarrolladores mientras alberga capacidades de espionaje sofisticadas.
Estos paquetes maliciosos funcionan como implantes de espionaje diseñados para robar credenciales confidenciales, sistemas objetivo de perfil y establecer puertas traseras persistentes dentro de entornos de infraestructura crítica.
La escala de la operación es asombrosa, con evaluaciones preliminares que indican más de 36,000 víctimas potenciales en todo el mundo.
Analistas de sonatype identificado Esta campaña a través de sus sistemas automatizados de detección de malware, revelando cómo el grupo Lázaro ha armado las relaciones de confianza inherentes dentro de los flujos de trabajo de desarrollo de código abierto.
Los actores de amenaza han explotado las debilidades fundamentales en cómo los desarrolladores consumen e integran paquetes de terceros, capitalizando la práctica generalizada de instalar dependencias sin rigurosos protocolos de verificación o sandboxing.
Mecanismo de infiltración de tuberías CI/CD
El aspecto más insidioso de la campaña radica en su explotación de la integración continua y las tuberías de implementación continua, donde las dependencias maliciosas se propagan automáticamente en los entornos de desarrollo.
Una vez integrado dentro del árbol de dependencia de un proyecto, el malware gana acceso persistente a credenciales de desarrollo confidencial, tokens API y código fuente patentado a través de la recolección de variables ambientales y el reconocimiento del sistema de archivos.
# Ejemplo de patrón de comportamiento de paquete malicioso Importar OS DEF COLECT_ENV_SECRETS (): sensitivo_vars = (‘aws_secret_key’, ‘database_url’, ‘api_token’) return {var: os.getenv (var) para var en sensitivo_vars si os.getenv (var)}
Los paquetes infectados mantienen su funcionalidad maliciosa mientras presentan interfaces legítimas, lo que les permite operar sin ser detectados durante períodos prolongados dentro de los entornos empresariales.
Este mecanismo de persistencia permite operaciones de recopilación de inteligencia a largo plazo, transformando tuberías de CI/CD comprometidas en infraestructura de espionaje permanente para operaciones cibernéticas de Corea del Norte.
Integre cualquiera. Pruebe 50 búsquedas de prueba gratuitas
