Lazarus infiltrerer open source-projekter

Eskil Sørensen
02.03.2025 14:01
Planter bagdøre i klonede softwarepakker.

Den nordkoreanske hackergruppe Lazarus, har gennemført et omfattende forsyningskædeangreb ved at indsætte ondsindet kode i klonede versioner af legitime open source-projekter. Denne operation, kaldet "Phantom Circuit", har resulteret i kompromittering af hundredvis af ofre verden over, især inden for kryptovaluta-sektoren.

Sådan står det at læse i The Register.

Strategi: Manipulation af open source-projekter

Lazarus-gruppen har angiveligt fokuseret på at forfalske open source-projekter ved at oprette klonede versioner med skjulte bagdøre. Disse manipulerede versioner, herunder værktøjer som Codementor, CoinProperty og Web3 E-Store, blev delt på platforme som GitLab. Derpå blev der rettet henvendelse mod udviklere, især inden for kryptovaluta-industrien, som uforvarende kom til at downloadede og integrere de kompromitterede pakker i deres systemer. Dette gav efter det oplyste angriberne adgang til følsomme data.

Global rækkevidde og påvirkning

Ifølge The Register, der har sin historie fra en analyse af Security Scorecard, blev operationen udført i flere bølger. I november blev 181 udviklere, primært i europæiske teknologisektorer, ramt. I december udvidede angrebet til 1225 ofre, herunder 284 i Indien og 21 i Brasilien. I januar blev yderligere 233 ofre tilføjet, hvoraf 110 var fra Indiens teknologisektor. De stjålne data omfattede legitimationsoplysninger, autentificeringstokens, adgangskoder og andre systeminformationer.

Skift i angrebsmetoder

The Register skriver, at kampagnen markerer en ændring i Lazarus-gruppens taktikker. Ved at manipulere open source-projekter kan gruppen opnå bredere indflydelse og langvarig adgang, samtidig med at de undgår opdagelse. Metode udgør ifølge Security Scoregard en ”betydelig” trussel, da udviklere ofte stoler på og integrerer open source-kode i deres projekter uden at tænke over, at der skulle være problemer med det. 

Eksperter advarer om, at denne form for forsyningskædeangreb kan have vidtrækkende konsekvenser, især i sektorer, der er afhængige af open source-software. Organisationer opfordres derfor til at gennemgå deres sikkerhedsprotokoller og være opmærksomme på potentielle trusler i deres forsyningskæde inden for software. 

https://www.theregister.com/2025/01/29/lazarus_groups_supply_chain_attack/

Læs mere

Information