Phantom Circuit: КНДР превратила Open Source в ловушку для разработчиков

Группа северокорейских хакеров Lazarus снова на слуху — теперь они перешли от разовых атак к долгосрочному стратегическому внедрению в цепочку поставок ПО. Согласно отчету SecurityScorecard, злоумышленники реализуют операцию Phantom Circuit, маскируя вредоносный код в доверенном программном обеспечении. Это позволяет незаметно получать доступ к данным разработчиков в фоновом режиме.

Кампания проходила в несколько волн. В ноябре 2024 года атака затронула 181 разработчика, в основном в технологическом секторе Европы. В декабре число жертв увеличилось до 1 225, включая 284 специалиста из Индии и 21 из Бразилии. В январе 2025 года количество пораженных устройств достигло 233, из которых 110 приходилось на индийский ИТ-сектор.

Основная цель — разработчики криптовалютных приложений, технологические компании и создатели открытого ПО. Метод атаки заключался в том, что Lazarus клонировала популярные open-source проекты и добавляла в них бэкдоры. Среди зараженных репозиториев обнаружены Codementor, CoinProperty, Web3 E-Store, а также менеджеры паролей на Python и другие приложения, связанные с криптовалютами и Web3.

После загрузки и использования вредоносного форка на компьютере разработчика активировался бэкдор, который позволял хакерам получать удаленный доступ, извлекать данные и передавать их в Северную Корею. Такой подход демонстрирует изменение тактики Lazarus Group разовых атак к долгосрочному стратегическому внедрению в цепочку поставок ПО.

Украденные данные включают учетные записи, токены аутентификации и пароли. Такие данные могут использоваться не только для последующих атак, но и для разведки в интересах правительства КНДР. По данным расследования, Lazarus перенаправляют украденную информацию на Dropbox, что затрудняет обнаружение и блокировку утечек.

Особенность атаки в том, что вредоносный код распространяется через GitLab — популярную облачную платформу для совместной разработки ПО. Это позволяет злоумышленникам внедрять вредоносные обновления, которые разработчики устанавливают автоматически, доверяя источнику. При этом, чтобы замаскировать свою активность, Lazarus использует VPN и промежуточные прокси-серверы, создавая ложное впечатление, что атака исходит из других стран.

Многоуровневая система маскировки Lazarus (SecurityScorecard)

Такая стратегия делает группировку еще более скрытной и устойчивой. В отличие от прошлых атак Lazarus, нацеленных на быстрый взлом банков, криптобирж и крупных корпораций, операция Phantom Circuit рассчитана на долгосрочное присутствие в инфраструктуре жертв. Это напоминает взлом Sony Pictures в 2014 году , массовую атаку WannaCry в 2017-м и хищения миллионов долларов с криптобирж в последующие годы.

Специалисты рекомендуют разработчикам усилить контроль за цепочкой поставок ПО, проверять источники скачиваемого кода, проверять код на предмет аномалий и использовать инструменты мониторинга сетевого трафика. Чем изощреннее становятся атаки, тем выше должны быть меры защиты.

Недавно мы писали о том, что в октябре и ноябре наблюдался всплеск активности хакеров из Северной Кореи , применяющих необычный способ распространения вредоносного ПО. Злоумышленники имитируют процесс собеседований, чтобы заражать жертв вредоносными программами. Основной целью становятся разработчики, работающие в технологической, финансовой и криптовалютной сферах.