Nordkoreanske hackere spreder BeaverTail-malware gennem ondsindede npm-pakker
En ny bølge af angreb fra nordkoreanske hackere er dukket op, rettet mod softwareudviklingssamfundet gennem ondsindede npm-pakker. Disse pakker, der er forbundet med den igangværende Contagious Interview-kampagne, er designet til at levere BeaverTail-malwaren såvel som en nyligt opdaget fjernadgang trojansk (RAT) loader. Denne kampagne er en del af en bredere indsats fra Lazarus Group for at infiltrere systemer, stjæle følsomme data og opretholde langsigtet adgang til kompromitterede enheder.
Indholdsfortegnelse
Tilsløringsteknikker, der bruges til at undgå detektion
Ifølge Socket-sikkerhedsforsker Kirill Boychenko anvender disse seneste eksempler hexadecimal strengkodning som en sløringsteknik, hvilket gør dem sværere at opdage af både automatiserede systemer og manuelle kodeaudits. Denne opdatering i malwarens unddragelsesstrategi viser en klar udvikling i trusselsaktørernes metoder til at omgå sikkerhedsforanstaltninger.
Ondsindede pakker maskerer sig som udviklerværktøjer
De ondsindede npm-pakker blev downloadet over 5.600 gange, før de blev fjernet. Nogle af de farlige pakker inkluderede empty-array-validator, twitterapis, dev-debugger-vite, snore-log, core-pino, events-utils, icloud-cod, cln-logger, node-clog, consolide-log og consolide-logger. Disse pakker var beregnet til at udgive sig som legitime hjælpeprogrammer eller debuggere, men de bar faktisk de ondsindede nyttelaster.
Stjæle data gennem falske jobsamtaler
Denne afsløring følger en lignende hændelse, der fandt sted en måned tidligere, da seks npm-pakker blev opdaget, der spredte BeaverTail, en JavaScript-tyver, der også leverede en Python-baseret bagdør kaldet InvisibleFerret. Det ultimative mål med disse angreb er at infiltrere udviklersystemer under dække af jobsamtaleprocesser. Når malware først er kommet ind, stjæler malwaren følsomme oplysninger, overtager finansielle aktiver og giver hackere mulighed for at opretholde vedvarende adgang til de kompromitterede systemer.
Links til Lazarus Group og Phantom Circuit Campaign
En bemærkelsesværdig pakke, dev-debugger-vite, brugte en kommando-og-kontrol-adresse (C2), som tidligere blev markeret af SecurityScorecard som værende forbundet med Lazarus-gruppen i en kampagne ved navn Phantom Circuit, som fandt sted i december 2024. Andre pakker, såsom events-utils og icloud-cod, viste sig at være knyttet til us-servere, Bittual-repositories. tidligere kampagner. Dette skift, sammen med "eiwork_hire"-biblioteket, der findes i icloud-cod-pakken, indikerer, at angriberne fortsætter med at bruge jobsamtale-relaterede taktikker for at aktivere infektionen.
Flere varianter for at maksimere infektionssucces
En analyse af nogle af pakkerne, inklusive cln-logger, node-clog, consolide-log og consolide-logger, afslørede små variationer i koden. Disse ændringer tyder på, at trusselsaktørerne forsøger at øge succesraten for deres kampagne ved at implementere flere malware-varianter. På trods af disse forskelle fungerer den indlejrede kode på tværs af disse fire pakker som en RAT-indlæser, der er i stand til at hente og udføre yderligere nyttelast fra fjernservere. På dette stadium er den nøjagtige karakter af den malware, der indlæses, uklar, da C2-endepunkterne ikke længere tjente nyttelast, da forskere undersøgte.
RAT Loader muliggør fjernstyring af inficerede systemer
Boychenko beskrev den ondsindede kode som en aktiv indlæser med RAT-funktioner, ved at bruge eval() til at hente og køre ekstern JavaScript. Denne metode giver angriberne mulighed for at implementere enhver opfølgende malware efter eget valg, hvilket gør RAT-loaderen til en betydelig trussel i sig selv.
Smitsom interviewkampagne viser ingen tegn på langsommere
Disse resultater understreger vedholdenheden af Contagious Interview-kampagnen. Angriberne har ikke vist nogen tegn på at bremse, fortsætter med at oprette nye npm-konti og implementere ondsindet kode på tværs af forskellige platforme som npm, GitHub og Bitbucket. De har også diversificeret deres taktik, udgivet ny malware under forskellige aliaser, ved hjælp af en blanding af depoter og udnyttet velkendte malware-varianter som BeaverTail og InvisibleFerret sammen med nyere RAT/loader-varianter.
Tropidoor-malware dukker op i udviklermålrettede phishing-angreb
I mellemtiden har det sydkoreanske cybersikkerhedsfirma AhnLab for nylig afsløret et andet aspekt af kampagnen. De identificerede et phishing-angreb med rekrutteringstema, der leverer BeaverTail, som derefter bruges til at implementere en tidligere udokumenteret Windows-bagdør kaldet Tropidoor. Denne bagdør, leveret via et npm-bibliotek hostet på Bitbucket, er i stand til at udføre en lang række ondsindede handlinger. Tropidoor kan eksfiltrere filer, indsamle information om drev og filer, køre processer, tage skærmbilleder og endda slette eller overskrive filer med NULL eller uønsket data.
Avancerede funktioner foreslår link til kendt Lazarus-malware
AhnLabs analyse fandt, at Tropidoor opererer i hukommelsen gennem en downloader og kontakter en C2-server for at modtage instruktioner. Malwaren bruger direkte Windows-kommandoer såsom schtasks, ping og reg, som også er blevet observeret i andre Lazarus Group-malware, såsom LightlessCan. Denne forbindelse knytter yderligere den nuværende aktivitet til den nordkoreanske gruppe, som er berygtet for sin brug af sofistikerede cyberspionagetaktikker .
Udviklere opfordres til at være på vagt over for forsyningskædeangreb
De seneste afsløringer understreger den igangværende trussel fra Lazarus Group og andre APT-aktører. Både udviklere og brugere skal udvise forsigtighed, når de downloader pakker eller åbner filer fra ukendte eller mistænkelige kilder. Efterhånden som disse angreb fortsætter med at udvikle sig, er det afgørende at være på vagt over for phishing-kampagner og inspicere afhængigheder for ondsindet kode for at beskytte følsomme oplysninger mod at falde i de forkerte hænder.