En un informe reciente, la compañía Sonatype reveló una campaña encubierta de
ciberespionaje orquestada por el Grupo Lazarus, vinculado a Corea del Norte,
dirigida a desarrolladores mediante paquetes de código abierto «envenenados».
Esta campaña, que se desarrolla durante 2025, es una sofisticada operación
destinada a extraer sigilosamente información confidencial de los procesos de
CI/CD y los entornos de desarrollo.
«Solo desde enero de 2025, los sistemas automatizados de detección de
malware de Sonatype descubrieron y bloquearon 234 paquetes únicos de malware
de código abierto atribuibles al Grupo Lazarus, respaldado por Corea del
Norte»,
afirma el informe.
El informe de Sonatype subraya una realidad: el código abierto ya no es solo
un facilitador de la innovación, sino un vector instrumental para el espionaje
estatal.
«Esta campaña continúa una tendencia preocupante: los adversarios se están
integrando cada vez más en el ciclo de vida del desarrollo de software
(SDLC), aprovechando la confianza de los desarrolladores, las normas de
código abierto y la apertura del registro para distribuir cargas maliciosas
a gran escala».
Este método aprovecha varias debilidades sistémicas:
-
Los desarrolladores suelen instalar paquetes sin verificación ni aislamiento
de procesos. - Los sistemas CI/CD propagan dependencias maliciosas automáticamente.
-
Muchos proyectos populares de código abierto son mantenidos por una o dos
personas, lo que facilita su suplantación o vulneración. - Los entornos de desarrollo contienen credenciales y tokens confidenciales.
-
El código malicioso, una vez incrustado, puede persistir sin ser detectado
durante largos periodos. -
El ecosistema de código abierto se ha convertido en un mecanismo eficaz para
el espionaje y el robo de credenciales.
El Grupo Lazarus, ya conocido por el hackeo de Sony, el robo al Banco de
Bangladesh, el ransomware WannaCry y el robo de miles de millones de dólares
en criptomonedas, ahora ha centrado su atención en aprovechar la confianza que
los desarrolladores depositan en las herramientas de NPM y PyPI.
Los hallazgos de Sonatype destacan tácticas como el robo de marca y el
aprovechamiento de errores tipográficos, técnicas que disfrazan paquetes
maliciosos para que parezcan dependencias legítimas:
-
npm:winston-compose: suplantación de la popular biblioteca de
registro Winston. - npm:nodemailer-helper: imitación de Nodemailer, una biblioteca SMTP.
-
pypi:pycryptoconf: suplantación del confiable paquete
pycrypto.
«Estas tácticas de mimetismo aprovechan errores tipográficos, confusión
visual o nombres ‘similares’… que siguen siendo muy eficaces contra
desarrolladores desprevenidos y procesos de compilación automatizados».
El malware no es simple. Opera en tres etapas:
-
Dropper inicial: Un paquete aparentemente inocuo obtiene la siguiente etapa
de un servidor de comando y control (C2). -
Cargador ofuscado: Un script altamente codificado ejecuta comprobaciones del
sistema para detectar entornos sandbox. -
Ejecución de la carga útil: Se libera un conjunto de malware modular, que
incluye: - Ladrón de portapapeles y shell remoto
-
Ladrón de credenciales
BeaverTail en JS
(dirigido a navegadores y monederos de criptomonedas) - Ladrón de archivos (que busca secretos, mnemónicos, tokens de API)
- Registrador de teclas de Windows y herramienta de captura de pantalla
«El Grupo Lazarus no implementa un único archivo malicioso monolítico; en
su lugar, el cargador genera múltiples cargas útiles independientes como
procesos Node.js separados», explica Sonatype.
A diferencia del malware oportunista diseñado para minar criptomonedas,
Lazarus se centra exclusivamente en la exfiltración de secretos.
No hubo indicios de comportamiento relacionado con la criptominería… Están
aprovechando el código abierto para recopilar datos confidenciales de forma
silenciosa y allanar el camino para el acceso a largo plazo a información
financiera lucrativa y operaciones de espionaje.
Estos secretos (variables de entorno, tokens de API, claves SSH) sirven como
llaves maestras para acceder al código fuente interno, plataformas en la nube
y redes empresariales.
Un ejemplo ilustrativo es vite-postcss-helper, un paquete NPM que:
- Contacta con un servidor C2 durante la instalación
- Implementa un cargador que busca máquinas virtuales
- Genera múltiples cargas útiles para exfiltración y vigilancia
-
Un ladrón de portapapeles… un recolector de credenciales llamado BeaverTail…
un cazador de archivos… y un keylogger con función de captura de pantalla.
Sonatype estima más de 36.000 víctimas potenciales. La campaña se dirige a:
- Procesos de compilación (CI/CD)
- Máquinas de desarrollo
- Infraestructura en la nube mediante credenciales robadas
«Estos paquetes comparten la infraestructura C2, el comportamiento de la
carga útil y la sincronización de la campaña con operaciones anteriores de
Lazarus», lo que coincide con los hallazgos de CISA, Microsoft y Kaspersky.
Sonatype enfatiza una defensa multicapa:
-
Cortafuegos de repositorio: bloquear el malware antes de que llegue al
sistema de compilación. -
Auditorías de dependencia: escanear regularmente con SBOM (Lista de
materiales de software). - Gobernanza: evitar paquetes con procedencia incierta.
- Repositorios centralizados: solo permite paquetes verificados internamente.
«Lazarus no está minando criptomonedas. Está minando la confianza»,
concluye Sonatype.
Fuente:
SecurityOnline