קבוצת האקרים צפון קוריאנים בשם Lazarus Group פגעה במאות קורבנות ברחבי העולם במתקפת שרשרת אספקה מסיבית של ריגול סייבר. המבצע האחרון של הצוות, שזכה לכינוי Phantom Circuit, שתל דלתות אחוריות בחבילות תוכנה לגיטימיות ובכלי קוד פתוח, כך שמפתחים ומשתמשים בתעשיית המטבעות הקריפטוגרפיים ישתמשו בהם בטעות. מתקפת שרשרת אספקה זו עשתה שימוש במאגרי הקוד של Gitlab.
על פי חוקרי SecurityScorecard שזיהו את מתקפת שרשרת האספקה וחשפו אותה, התפתחה המתקפה במספר גלים: בנובמבר, כיוונו מרגלי הסייבר של קים ג'ונג און ל- 181 מפתחים במגזרי טכנולוגיה אירופיים בעיקר. בחודש שלאחר מכן הם גדלו ל- 1,225 קורבנות, כולל 284 בהודו ו- 21 בברזיל. בינואר הם הוסיפו 233 קורבנות, שכללו 110 במגזר הטכנולוגי של הודו. המידע שנגנב כולל אישורים, אסימוני אימות, סיסמאות ומידע מערכתי אחר.
ברגע שמפתח מוריד ללא ידיעתו מאגר קוד מ- Gitlab ומתחיל להשתמש בו כשהוא מכיל את הנוזקה הצפון קוריאנית, מתקינה הנוזקה דלת אחורית במערכת המחשוב, מה שמאפשר לצפון קוריאנים להתחבר, לגנוב מידע רגיש ולשלוח אותו בחזרה לפיונגיאנג. מתקפת סייבר זו – הטמעת נוזקות בעותקים של תוכנות לגיטימיות – חושפת גם שינוי בשיטת הפעולה של Lazarus Group, ציין ריאן שרסטוביטוף – סמנכ"ל בכיר למחקר ומודיעין איומים ב-SecurityScorecard. לדבריו: "גישה זו מאפשרת השפעה נרחבת וגישה ארוכת טווח תוך התחמקות מגילוי."
קבוצת Lazarus גם השתמשה בערפול שכבות כדי להסתיר את מקור מתקפת הסייבר. הדבר כלל ניתוב תעבורה דרך נקודות קצה של Astrill VPN כדי לטשטש את המקור הגיאוגרפי שלהן ולאחר מכן, שימוש בשכבת פרוקסי ביניים ברוסיה, המשלבת פעילות זדונית עם תעבורת רשת לגיטימית. לאחר ערבוב עם תעבורה לגיטימית, הגיע בסופו של דבר מסע גניבת המידע לתשתית C2 של Lazarus Group, המתארחת בשרתי Stark Industries. חוקרי SecurityScorecard הבחינו בשש כתובות IP צפון קוריאניות המתחברות לשרתי C2 – אחת מהן הייתה קשורה למתקפות קודמות של Lazarus Group נגד פלטפורמת Codementor. תשתית שכבות זו קשרה את שש כתובות ה- IP הצפון קוריאניות ישירות לשרתי C2 ואישרה את תפקידה של Lazarus Group בניהול הפעולה מתוך צפון קוריאה.