Кампания проходила в несколько волн. В ноябре 2024 года атака затронула 181 разработчика, в основном в технологическом секторе Европы. В декабре число жертв увеличилось до 1 225, включая 284 специалиста из Индии и 21 из Бразилии. В январе 2025 года количество пораженных устройств достигло 233, из которых 110 приходилось на индийский ИТ-сектор.
Основная цель — разработчики криптовалютных приложений, технологические компании и создатели открытого ПО. Метод атаки заключался в том, что Lazarus клонировала популярные open-source проекты и добавляла в них бэкдоры. Среди зараженных репозиториев обнаружены Codementor, CoinProperty, Web3 E-Store, а также менеджеры паролей на Python и другие приложения, связанные с криптовалютами и Web3.
После загрузки и использования вредоносного форка на компьютере разработчика активировался бэкдор, который позволял хакерам получать удаленный доступ, извлекать данные и передавать их в Северную Корею. Такой подход демонстрирует изменение тактики Lazarus Group разовых атак к долгосрочному стратегическому внедрению в цепочку поставок ПО.
Украденные данные включают учетные записи, токены аутентификации и пароли. Такие данные могут использоваться не только для последующих атак, но и для разведки в интересах правительства КНДР. По данным расследования, Lazarus перенаправляют украденную информацию на Dropbox, что затрудняет обнаружение и блокировку утечек.
Особенность атаки в том, что вредоносный код распространяется через GitLab — популярную облачную платформу для совместной разработки ПО. Это позволяет злоумышленникам внедрять вредоносные обновления, которые разработчики устанавливают автоматически, доверяя источнику. При этом, чтобы замаскировать свою активность, Lazarus использует VPN и промежуточные прокси-серверы, создавая ложное впечатление, что атака исходит из других стран.
Многоуровневая система маскировки
Специалисты рекомендуют разработчикам усилить контроль за цепочкой поставок ПО, проверять источники скачиваемого кода, проверять код на предмет аномалий и использовать инструменты мониторинга сетевого трафика. Чем изощреннее становятся атаки, тем выше должны быть меры защиты.