Els pirates informàtics de Corea del Nord difonen programari maliciós BeaverTail mitjançant paquets npm maliciosos
Ha aparegut una nova onada d'atacs de pirates informàtics de Corea del Nord, dirigits a la comunitat de desenvolupament de programari mitjançant paquets npm maliciosos. Aquests paquets, associats a la campanya en curs Contagious Interview, estan dissenyats per oferir el programari maliciós BeaverTail , així com un carregador de troià d'accés remot (RAT) recentment descobert. Aquesta campanya forma part d'un esforç més ampli del Grup Lazarus per infiltrar-se en sistemes, robar dades sensibles i mantenir l'accés a llarg termini als dispositius compromesos.
Taula de continguts
Tècniques d'ofuscació utilitzades per evitar la detecció
Segons l'investigador de seguretat de Socket Kirill Boychenko, aquestes últimes mostres utilitzen la codificació de cadena hexadecimal com a tècnica d'ofuscament, cosa que fa que siguin més difícils de detectar tant per sistemes automatitzats com per auditories manuals de codi. Aquesta actualització de l'estratègia d'evasió del programari maliciós mostra una clara evolució en els mètodes dels actors de l'amenaça per evitar les mesures de seguretat.
Paquets maliciosos que es dissimulen com a eines per a desenvolupadors
Els paquets npm maliciosos es van baixar més de 5.600 vegades abans de ser eliminats. Alguns dels paquets perillosos incloïen empty-array-validator, twitterapis, dev-debugger-vite, snore-log, core-pino, events-utils, icloud-cod, cln-logger, node-clog, consolidate-log i consolidate-logger. Aquests paquets tenien la intenció de fer-se passar per utilitats o depuradors legítims, però de fet portaven les càrregues útils malicioses.
Robatori de dades mitjançant entrevistes de treball falses
Aquesta divulgació segueix un incident similar que va ocórrer un mes abans, quan es van descobrir sis paquets npm estenent BeaverTail, un robatori de JavaScript que també va oferir una porta posterior basada en Python anomenada InvisibleFerret. L'objectiu final d'aquests atacs és infiltrar-se en els sistemes de desenvolupadors sota l'aparença de processos d'entrevistes de feina. Un cop endins, el programari maliciós roba informació sensible, absorbeix actius financers i permet als pirates informàtics mantenir un accés persistent als sistemes compromesos.
Enllaços a Lazarus Group i Phantom Circuit Campaign
Un paquet notable, dev-debugger-vite, va utilitzar una adreça de comandament i control (C2) que prèviament SecurityScorecard va marcar com a associada amb el grup Lazarus en una campanya anomenada Phantom Circuit, que va tenir lloc el desembre de 2024. Es va trobar que altres paquets, com events-utils i icloud-cod, estaven enllaçats amb els dipòsits habituals de Bitbucket des dels dipòsits habituals de Gibucket. campanyes anteriors. Aquest canvi, juntament amb el directori "eiwork_hire" que es troba dins del paquet icloud-cod, indica que els atacants continuen utilitzant tàctiques relacionades amb l'entrevista de feina per activar la infecció.
Variants múltiples per maximitzar l'èxit de la infecció
Una anàlisi d'alguns dels paquets, inclosos cln-logger, node-clog, consolidate-log i consolidate-logger, va revelar petites variacions en el codi. Aquests canvis suggereixen que els actors de les amenaces intenten augmentar la taxa d'èxit de la seva campanya mitjançant la implementació de múltiples variants de programari maliciós. Malgrat aquestes diferències, el codi incrustat en aquests quatre paquets funciona com un carregador RAT capaç d'aconseguir i executar càrregues útils addicionals des de servidors remots. En aquesta etapa, la naturalesa exacta del programari maliciós que es carrega no està clara, ja que els punts finals C2 ja no servien càrregues útils quan els investigadors van investigar.
RAT Loader permet el control remot dels sistemes infectats
Boychenko va descriure el codi maliciós com un carregador actiu amb capacitats RAT, utilitzant eval() per obtenir i executar JavaScript remot. Aquest mètode permet als atacants desplegar qualsevol programari maliciós de seguiment de la seva elecció, fent que el carregador RAT sigui una amenaça important en si mateix.
La campanya d'entrevistes contagioses no mostra signes d'alentiment
Aquestes troballes posen l'accent en la persistència de la campanya Entrevista contagiosa. Els atacants no han mostrat cap signe de desacceleració, continuant creant nous comptes npm i desplegant codi maliciós a diverses plataformes com npm, GitHub i Bitbucket. També han diversificat les seves tàctiques, publicant nou programari maliciós amb diferents àlies, utilitzant una combinació de repositoris i aprofitant variants de programari maliciós conegudes com BeaverTail i InvisibleFerret juntament amb variants més noves de RAT/loader.
El programari maliciós Tropidoor sorgeix en atacs de pesca dirigits a desenvolupadors
Mentrestant, l'empresa de ciberseguretat de Corea del Sud AhnLab ha descobert recentment un altre aspecte de la campanya. Van identificar un atac de pesca temàtic de reclutament que ofereix BeaverTail, que després s'utilitza per desplegar una porta posterior de Windows prèviament indocumentada anomenada Tropidoor. Aquesta porta del darrere, lliurada a través d'una biblioteca npm allotjada a Bitbucket, és capaç de realitzar una àmplia gamma d'accions malicioses. Tropidoor pot exfiltrar fitxers, recopilar informació sobre unitats i fitxers, executar processos, capturar captures de pantalla i fins i tot suprimir o sobreescriure fitxers amb dades NULL o brossa.
Les capacitats avançades suggereixen un enllaç al programari maliciós Lazarus conegut
L'anàlisi d'AhnLab va trobar que Tropidoor funciona a la memòria mitjançant un descarregador i contacta amb un servidor C2 per rebre instruccions. El programari maliciós utilitza directament ordres de Windows com ara schtasks, ping i reg, que també s'han observat en altres programes maliciosos del grup Lazarus, com LightlessCan. Aquesta connexió lliga encara més l'activitat actual amb el grup nord-coreà, famós pel seu ús de sofisticades tàctiques d'espionatge cibernètic .
Es demana als desenvolupadors que estiguin vigilants contra els atacs de la cadena de subministrament
Les últimes revelacions subratllen l'amenaça contínua que suposa el Grup Lazarus i altres actors de l'APT. Tant els desenvolupadors com els usuaris han de tenir precaució quan baixen paquets o obren fitxers de fonts desconegudes o sospitoses. A mesura que aquests atacs continuen evolucionant, mantenir-se vigilant contra les campanyes de pesca i inspeccionar les dependències per detectar codis maliciosos és crucial per protegir la informació sensible perquè no caigui en mans equivocades.