Severokorejští hackeři šíří malware BeaverTail prostřednictvím škodlivých balíčků npm
Objevila se nová vlna útoků ze strany severokorejských hackerů, které se zaměřují na komunitu vývojářů softwaru prostřednictvím škodlivých balíčků npm. Tyto balíčky, spojené s probíhající kampaní Contagious Interview, jsou navrženy tak, aby poskytovaly malware BeaverTail a také nově objevený zavaděč trojanů pro vzdálený přístup (RAT). Tato kampaň je součástí širší snahy skupiny Lazarus proniknout do systémů, ukrást citlivá data a udržovat dlouhodobý přístup k ohroženým zařízením.
Obsah
Obfuskační techniky používané k vyhnutí se detekci
Podle výzkumného pracovníka v oblasti bezpečnosti Socket Kirilla Boychenka tyto nejnovější vzorky využívají hexadecimální kódování řetězců jako obfuskační techniku, takže je obtížnější je odhalit jak automatizovanými systémy, tak manuálními audity kódu. Tato aktualizace strategie úniku malwaru ukazuje jasný vývoj v metodách aktérů hrozeb, jak obejít bezpečnostní opatření.
Škodlivé balíčky vydávající se za vývojářské nástroje
Škodlivé balíčky npm byly staženy více než 5 600krát, než byly odstraněny. Některé z nebezpečných balíčků zahrnovaly empty-array-validator, twitterapis, dev-debugger-vite, snore-log, core-pino, events-utils, icloud-cod, cln-logger, node-clog, consolidate-log a consolidate-logger. Tyto balíčky se měly vydávat za legitimní nástroje nebo debuggery, ale ve skutečnosti nesly škodlivé užitečné zatížení.
Krádež dat prostřednictvím falešných pracovních pohovorů
Toto odhalení následuje po podobném incidentu, ke kterému došlo o měsíc dříve, když bylo objeveno šest npm balíčků šířících BeaverTail, kradoucího JavaScriptu, který také dodal backdoor založený na Pythonu s názvem InvisibleFerret. Konečným cílem těchto útoků je infiltrovat vývojářské systémy pod rouškou procesů přijímacích pohovorů. Jakmile se malware dostane dovnitř, krade citlivé informace, vysává finanční aktiva a umožňuje hackerům udržovat trvalý přístup k napadeným systémům.
Odkazy na Lazarus Group a kampaň Phantom Circuit
Jeden pozoruhodný balíček, dev-debugger-vite, používal adresu příkazu a ovládání (C2), která byla dříve označena SecurityScorecard jako přidružená ke skupině Lazarus v kampani s názvem Phantom Circuit, ke které došlo v prosinci 2024. Bylo zjištěno, že další balíčky, jako jsou events-utils a icloud-cod, byly propojeny s obvyklými kampaněmi Bitbucket z repository Bitbucket z dřívějšího úložiště Gellergitub. Tento posun spolu s adresářem "eiwork_hire" nalezeným v balíčku icloud-cod naznačuje, že útočníci nadále používají taktiku související s pracovním pohovorem k aktivaci infekce.
Více variant pro maximalizaci úspěchu infekce
Analýza některých balíčků, včetně cln-logger, node-clog, consolidate-log a consolidate-logger, odhalila malé odchylky v kódu. Tyto změny naznačují, že aktéři hrozeb se pokoušejí zvýšit úspěšnost své kampaně nasazením více variant malwaru. Navzdory těmto rozdílům funguje vložený kód v těchto čtyřech balíčcích jako zavaděč RAT schopný načíst a spustit další užitečné zatížení ze vzdálených serverů. V této fázi zůstává přesná povaha malwaru, který se načítá, nejasná, protože koncové body C2 již při vyšetřování nesloužily užitečné zátěži.
RAT Loader Umožňuje vzdálené ovládání infikovaných systémů
Boychenko popsal škodlivý kód jako aktivní zavaděč s funkcemi RAT, který pomocí eval() načítá a spouští vzdálený JavaScript. Tato metoda umožňuje útočníkům nasadit jakýkoli následný malware podle vlastního výběru, čímž se zavaděč RAT sám o sobě stává významnou hrozbou.
Kampaň s nakažlivými rozhovory nevykazuje žádné známky zpomalení
Tato zjištění zdůrazňují trvalost kampaně Contagious Interview. Útočníci neprokázali žádné známky zpomalení, pokračují ve vytváření nových účtů npm a nasazování škodlivého kódu na různé platformy, jako jsou npm, GitHub a Bitbucket. Diverzifikovali také svou taktiku, publikovali nový malware pod různými aliasy, používali kombinaci úložišť a vedle novějších variant RAT/loaderu využívali známé varianty malwaru jako BeaverTail a InvisibleFerret.
Malware Tropidoor se objevuje v phishingových útocích cílených na vývojáře
Mezitím jihokorejská kyberbezpečnostní společnost AhnLab nedávno odhalila další aspekt kampaně. Identifikovali phishingový útok na téma náboru, který poskytuje BeaverTail, který je pak použit k nasazení dříve nezdokumentovaného backdoor Windows s názvem Tropidoor. Tato zadní vrátka, dodávaná prostřednictvím knihovny npm hostované na Bitbucket, je schopna provádět širokou škálu škodlivých akcí. Tropidoor dokáže exfiltrovat soubory, shromažďovat informace o jednotkách a souborech, spouštět procesy, pořizovat snímky obrazovky a dokonce mazat nebo přepisovat soubory NULL nebo nevyžádanými daty.
Pokročilé schopnosti navrhnout odkaz na známý malware Lazarus
Analýza společnosti AhnLab zjistila, že Tropidoor funguje v paměti prostřednictvím downloaderu a kontaktuje server C2, aby obdržel instrukce. Malware přímo používá příkazy Windows, jako jsou schtasks, ping a reg, které byly také pozorovány u jiného malwaru Lazarus Group, jako je LightlessCan. Toto spojení dále spojuje současnou aktivitu se severokorejskou skupinou, která je nechvalně známá svým používáním sofistikovaných kyberšpionážních taktik .
Vývojáři vyzývají, aby zůstali ostražití proti útokům na dodavatelský řetězec
Nejnovější odhalení podtrhují pokračující hrozbu, kterou představuje skupina Lazarus a další aktéři APT. Vývojáři i uživatelé musí být opatrní při stahování balíčků nebo otevírání souborů z neznámých nebo podezřelých zdrojů. Vzhledem k tomu, že se tyto útoky neustále vyvíjejí, je pro ochranu citlivých informací před tím, aby se dostaly do nesprávných rukou, zásadní zůstat ostražití proti phishingovým kampaním a prověřování závislostí na škodlivý kód.