Севернокорейски хакери разпространяват зловреден софтуер BeaverTail чрез злонамерени npm пакети
Появи се нова вълна от атаки от севернокорейски хакери, насочени към общността за разработка на софтуер чрез злонамерени npm пакети. Тези пакети, свързани с текущата кампания Contagious Interview, са предназначени да доставят злонамерения софтуер BeaverTail , както и новооткрит троянски кон за отдалечен достъп (RAT). Тази кампания е част от по-широко усилие на Lazarus Group за проникване в системи, кражба на чувствителни данни и поддържане на дългосрочен достъп до компрометирани устройства.
Съдържание
Техники за обфускиране, използвани за избягване на откриването
Според изследователя по сигурността на Socket Кирил Бойченко, тези най-нови проби използват кодиране на шестнадесетичен низ като техника на обфускация, което ги прави по-трудни за откриване както от автоматизирани системи, така и от одити на ръчен код. Тази актуализация на стратегията за избягване на злонамерения софтуер показва ясна еволюция в методите на участниците в заплахата за заобикаляне на мерките за сигурност.
Злонамерени пакети, маскирани като инструменти за разработчици
Злонамерените npm пакети са изтеглени над 5600 пъти, преди да бъдат премахнати. Някои от опасните пакети включват празен масив-валидатор, twitterapis, dev-debugger-vite, snore-log, core-pino, events-utils, icloud-cod, cln-logger, node-clog, consolidate-log и consolidate-logger. Тези пакети бяха предназначени да се маскират като легитимни помощни програми или програми за отстраняване на грешки, но всъщност носеха злонамерени полезни товари.
Кражба на данни чрез фалшиви интервюта за работа
Това разкриване следва подобен инцидент, който се случи месец по-рано, когато бяха открити шест npm пакета, разпространяващи BeaverTail, крадец на JavaScript, който също предостави базирана на Python задна врата, наречена InvisibleFerret. Крайната цел на тези атаки е да проникнат в системите на разработчиците под прикритието на процеси на интервю за работа. Веднъж влязъл, зловредният софтуер краде чувствителна информация, източва финансови активи и позволява на хакерите да поддържат постоянен достъп до компрометираните системи.
Връзки към Lazarus Group и кампанията Phantom Circuit
Един забележителен пакет, dev-debugger-vite, използва командно-контролен (C2) адрес, който преди това беше маркиран от SecurityScorecard като свързан с Lazarus Group в кампания, наречена Phantom Circuit, която се случи през декември 2024 г. Други пакети, като Events-utils и icloud-cod, бяха установени като свързани с хранилища на Bitbucket, отклоняващи се от обичайния GitHub цели, наблюдавани в предишни кампании. Тази промяна, заедно с директорията „eiwork_hire“, открита в пакета icloud-cod, показва, че нападателите продължават да използват тактики, свързани с интервю за работа, за да активират инфекцията.
Множество варианти за максимален успех при заразяване
Анализ на някои от пакетите, включително cln-logger, node-clog, consolidate-log и consolidate-logger, разкри малки вариации в кода. Тези промени предполагат, че участниците в заплахата се опитват да увеличат процента на успех на кампанията си чрез внедряване на множество варианти на зловреден софтуер. Въпреки тези разлики, вграденият код в тези четири пакета функционира като RAT loader, способен да извлича и изпълнява допълнителни полезни натоварвания от отдалечени сървъри. На този етап точното естество на заредения злонамерен софтуер остава неясен, тъй като крайните точки C2 вече не обслужваха полезни товари, когато изследователите разследваха.
RAT Loader позволява дистанционно управление на заразени системи
Бойченко описва злонамерения код като активен зареждащ механизъм с RAT възможности, използващ eval() за извличане и стартиране на отдалечен JavaScript. Този метод позволява на атакуващите да разположат всякакъв последващ злонамерен софтуер по свой избор, което прави RAT loader значителна заплаха сама по себе си.
Кампанията за заразни интервюта не показва признаци на забавяне
Тези констатации подчертават постоянството на кампанията за заразно интервю. Нападателите не са показали признаци на забавяне, като продължават да създават нови npm акаунти и да внедряват зловреден код в различни платформи като npm, GitHub и Bitbucket. Те също разнообразиха тактиката си, публикувайки нов злонамерен софтуер под различни псевдоними, използвайки комбинация от хранилища и използвайки добре познати варианти на злонамерен софтуер като BeaverTail и InvisibleFerret заедно с по-новите варианти на RAT/loader.
Зловреден софтуер Tropidoor се появява при фишинг атаки, насочени към разработчици
Междувременно южнокорейската компания за киберсигурност AhnLab наскоро разкри друг аспект на кампанията. Те идентифицираха фишинг атака с набиране на персонал, която доставя BeaverTail, който след това се използва за внедряване на недокументирана преди това задна врата на Windows, наречена Tropidoor. Тази задна вратичка, доставена чрез npm библиотека, хоствана на Bitbucket, е способна да извършва широк набор от злонамерени действия. Tropidoor може да ексфилтрира файлове, да събира информация за устройства и файлове, да изпълнява процеси, да заснема екранни снимки и дори да изтрива или презаписва файлове с NULL или нежелани данни.
Разширените възможности предлагат връзка към известен злонамерен софтуер Lazarus
Анализът на AhnLab установи, че Tropidoor работи в паметта чрез програма за изтегляне и се свързва със сървър C2, за да получи инструкции. Зловреден софтуер директно използва команди на Windows като schtasks, ping и reg, които също са наблюдавани в друг зловреден софтуер на Lazarus Group, като LightlessCan. Тази връзка допълнително свързва настоящата дейност със севернокорейската група, която е скандално известна с използването на сложни тактики за кибершпионаж .
Разработчиците са призовани да останат бдителни срещу атаки във веригата на доставки
Последните разкрития подчертават продължаващата заплаха от Lazarus Group и други участници в APT. Разработчиците и потребителите трябва да бъдат внимателни, когато изтеглят пакети или отварят файлове от неизвестни или подозрителни източници. Тъй като тези атаки продължават да се развиват, оставането на бдителност срещу фишинг кампаниите и проверката на зависимостите за злонамерен код е от решаващо значение за защитата на чувствителната информация от попадане в неподходящи ръце.