【安全资讯】朝鲜黑客组织Lazarus针对开源软件库发起新型间谍活动

概要：

朝鲜国家支持的黑客组织Lazarus近期针对开源软件库发起了一场新型网络间谍活动，通过在npm和PyPI等流行代码库中植入恶意软件包，已危及超过3.6万名开发者的安全。这些恶意软件包伪装成合法开发工具，旨在窃取凭证、植入后门并长期潜伏受害者网络，显示出朝鲜黑客组织从金融盗窃向网络间谍活动的战略转变。

主要内容：

网络安全公司Sonatype最新研究发现，2023年1月至7月期间，朝鲜黑客组织Lazarus在npm和PyPI代码库上传了234个恶意软件包。这些软件包采用品牌冒充和拼写错误诱导(tysquatting)策略，模仿知名开发工具诱骗开发者下载。

一旦安装，这些恶意软件包会部署多种间谍工具，包括剪贴板窃取器、键盘记录器、截图工具和凭证收集器。其中90多个软件包专门用于窃取机密信息，120多个作为投放器用于部署额外恶意软件，显示出其长期网络渗透的战略意图。

Lazarus组织此次攻击利用了开源软件供应链的重大漏洞，包括开发者依赖未经审查的软件包，以及流行工具往往仅由一两人维护导致的监管缺失。特别值得注意的是，该活动主要针对DevOps和CI/CD环境中的开发者。

研究人员指出，虽然网络攻击溯源往往难以确证，但此次攻击的基础设施和战术与Lazarus过往活动高度吻合。该组织正将开源生态系统转变为复杂的网络间谍投送机制，严重威胁着开源社区固有的信任机制。