Lazarus, aussi connu sous le nom d’Hidden Cobra, est l’un des groupes APT (Advanced Persistent Threat - Menace persistante avancée, cybercriminels) les plus redoutés au monde. Il est très régulièrement affilié au Bureau général de reconnaissance nord-coréen, une structure en charge des opérations de renseignement du régime.
Dans une étude publiée fin juillet 2025, les chercheurs de Sonatype (société américaine) annoncent avoir détecté une vaste campagne d’espionnage menée au sein des écosystèmes open source par Lazarus.
Sonatype, l’entreprise spécialisée dans la protection de la chaîne logicielle a recensé 234 packages frauduleux, disponibles en téléchargement libre sur les plateformes collaboratives npm (Javascript) et PyPI (Python).
Le groupe pirate infiltre désormais l’écosystème open source à sa racine.
Plus de 36 000 développeurs auraient téléchargé ces outils frauduleux. Derrière des noms de bibliothèque populaires, ces packages cachent en réalité des implants d’espionnage.
Des milliers de projets pourraient être infectés.
La furtivité de leurs attaques permet à ces logiciels malveillants de rester invisibles sur de très longues périodes. Ce qui permet à Lazarus d’espionner sur le long terme des infrastructures sensibles.