Северокорейские хакеры атаковали npm, PyPI и GitHub одновременно

Северокорейские хакерские группы провели масштабную скоординированную атаку на три ключевых экосистемы разработчиков одновременно: npm (JavaScript), PyPI (Python) и GitHub (репозитории кода). Атака охватила сотни вредоносных пакетов, замаскированных под популярные библиотеки, и затронула проекты по всему миру.

Механизм атаки

Атакующие публиковали пакеты с названиями, похожими на популярные библиотеки (typosquatting), или получали доступ к реальным аккаунтам мейнтейнеров через социальную инженерию. Внедрённый код активировался при установке пакета и похищал токены доступа, SSH-ключи, переменные окружения и учётные данные для облачных сервисов. Отдельные образцы содержали бэкдоры для постоянного доступа к заражённой машине.

Масштаб и координация атаки — на нескольких платформах одновременно, с разными вредоносными пейлоадами для разных языков программирования — указывают на государственный уровень ресурсов. The Hacker News связывает кампанию с северокорейскими группами, которые финансируют ядерную программу через кибер-операции.

Уроки

Для разработчиков и компаний — напоминание: каждая зависимость в проекте — потенциальная точка входа для атакующего. Обязательные меры: двухфакторная аутентификация для мейнтейнеров, lockfile-first подход (фиксация версий зависимостей), регулярный аудит через npm audit / pip-audit / Snyk, и мониторинг новых зависимостей перед добавлением в проект. Supply-chain безопасность — уже не «приятное дополнение», а критический процесс.