Una sofisticada campaña de ciber espionaje dirigida a desarrolladores de software se ha infiltrado en dos de los repositorios de paquetes de código abierto más grandes del mundo, con el notorio grupo de Lázaro de Corea del Norte desplegando con éxito 234 paquetes maliciosos en los ecosistemas de NPM y PYPI.
Entre enero y julio de 2025, esta operación patrocinada por el estado expuso a más de 36,000 víctimas potenciales a malware avanzado diseñado para la vigilancia a largo plazo y el robo de credenciales.
Los paquetes maliciosos se disfrazaron de herramientas legítimas de desarrollador, explotando el lugar de los desarrolladores de confianza inherentes en los ecosistemas de código abierto.
Estos componentes armados funcionaron como implantes de espionaje, diseñados para robar secretos sensibles, hosts objetivo de perfil y establecer puertas traseras persistentes en sistemas de infraestructura crítica.
La campaña representa una evolución estratégica en la guerra cibernética en estado-nación, transformando los flujos de trabajo de desarrollo cotidiano en vectores de ataque.
Analistas de sonatype identificado El actor de amenaza como el Grupo Lazarus, también conocido como Cobra oculta, un colectivo patrocinado por el estado de Corea del Norte asociado con la Oficina General de Reconocimiento.
La cartera criminal de una década de este grupo incluye ataques de alto perfil como la violación de Sony Pictures 2014, el Bangladesh Bank Heist 2016 y el devastador brote de ransomware WannaCry 2017.
Más recientemente, orquestaron el robo de criptomonedas Bybit de $ 1.5 mil millones en 2025. La metodología de ataque aprovechó varias vulnerabilidades críticas dentro de los ecosistemas de código abierto.
Los desarrolladores instalan rutinariamente paquetes sin protocolos integrales de verificación o sandboxing, mientras que los sistemas Automatizados de CI/CD propagan dependencias maliciosas a lo largo de las tuberías de desarrollo sin supervisión humana.
La naturaleza descentralizada de muchos proyectos populares, a menudo mantenidos por solo una o dos personas, crea oportunidades de suplantación y compromiso.
Mecanismos de persistencia y evasión
El grupo Lázaro empleó tácticas de persistencia sofisticadas centradas en la entrega modular de la carga útil y las técnicas de evasión de infraestructura.
Su malware utilizó un proceso de infección en varias etapas, donde la instalación inicial de la instalación del paquete activó un código latente que se activaría durante las actividades de desarrollo posteriores.
Los componentes maliciosos se integraron sin problemas con las herramientas de desarrollo legítimas, lo que hace que la detección sea extremadamente desafiante a través de los métodos de escaneo de seguridad convencionales.
Los posibles persistentes establecidos por estos paquetes crearon canales de acceso a largo plazo que permanecieron sin ser detectados para períodos prolongados, lo que permite la exfiltración de datos continuos de entornos de desarrolladores comprometidos que contienen credenciales confidenciales, tokens API y código fuente propietario.
Integre cualquiera. Pruebe 50 búsquedas de prueba gratuitas
