Nordkoreas hackargrupp Lazarus Group driver en aktiv kampanj mot mjukvaruutvecklare via det populära paketregistret npm. Det visar ny forskning från Sonatype Security Research, som spårar dussintals skadliga paket kopplade till gruppen.

Attackmetoden kallas brandjacking och går ut på att skapa paket med namn som liknar välkända och betrodda JavaScript-bibliotek. Målet är att utvecklare ska installera dem av misstag under normalt arbete.

Paket som ser äkta ut

De skadliga paketen är utformade för att se ut som legitima verktyg kopplade till etablerade projekt. Sonatype rapporterar att vissa av paketen nådde upp till 500 nedladdningar per vecka, vilket tyder på att kampanjen lyckats lura ett antal utvecklare.

När ett paket installerats kan det stjäla inloggningsuppgifter, kartlägga systemmiljön och öppna bakdörrar för långvarig åtkomst till byggmiljöer och kodbaser. Det är ett klassiskt supply chain-angrepp där angriparen tar sig in via en betrodd kanal.

Del av ett större mönster

Lazarus Groups aktivitet i öppna paketregister är väldokumenterad. Enligt Sonatypes egna data blockerades 234 unika skadliga paket kopplade till gruppen i npm och PyPI under 2025. Paketen har utvecklats från enkla droppare till komplexa flerstegsattacker som kombinerar stöld av inloggningsuppgifter med persistent fjärråtkomst.

Gruppen har även kopplats till falska rekryteringskampanjer på LinkedIn och liknande plattformar, där utvecklare lockas med kryptorelaterade uppdrag och sedan får skadlig kod via till synes legitima kodningsuppgifter.

Vad utvecklingsteam bör göra

För företag som använder npm i sina byggsystem är risken påtaglig. Rekommendationerna är tydliga: verifiera paketnamn noga innan installation, använd verktyg för automatisk skanning av beroenden, och begränsa vad byggmiljöer har åtkomst till i produktionssystem.

Att hålla en strikt lista över godkända paket och regelbundet granska nya beroenden är inte längre bara god praxis, utan ett grundläggande skydd mot den här typen av riktade supply chain-attacker.