Βορειοκορεάτες χάκερ διαδίδουν κακόβουλο λογισμικό BeaverTail μέσω κακόβουλων πακέτων npm

Μέχρι το Mura το Ασφάλεια Υπολογιστών

Μετάφραση σε:

Ένα νέο κύμα επιθέσεων από βορειοκορεάτες χάκερ εμφανίστηκε, με στόχο την κοινότητα ανάπτυξης λογισμικού μέσω κακόβουλων πακέτων npm. Αυτά τα πακέτα, που σχετίζονται με την εν εξελίξει καμπάνια Contagious Interview, έχουν σχεδιαστεί για να παρέχουν το κακόβουλο λογισμικό BeaverTail , καθώς και έναν νέο φορτωτή απομακρυσμένης πρόσβασης trojan (RAT) που ανακαλύφθηκε πρόσφατα. Αυτή η καμπάνια αποτελεί μέρος μιας ευρύτερης προσπάθειας του Ομίλου Lazarus για διείσδυση σε συστήματα, κλοπή ευαίσθητων δεδομένων και διατήρηση μακροπρόθεσμης πρόσβασης σε παραβιασμένες συσκευές.

Πίνακας περιεχομένων

Τεχνικές συσκότισης που χρησιμοποιούνται για την αποφυγή ανίχνευσης

Σύμφωνα με τον ερευνητή ασφαλείας του Socket, Kirill Boychenko, αυτά τα τελευταία δείγματα χρησιμοποιούν δεκαεξαδική κωδικοποίηση συμβολοσειρών ως τεχνική συσκότισης, καθιστώντας πιο δύσκολο τον εντοπισμό τους τόσο από αυτοματοποιημένα συστήματα όσο και από χειροκίνητους ελέγχους κώδικα. Αυτή η ενημέρωση στη στρατηγική αποφυγής του κακόβουλου λογισμικού δείχνει μια σαφή εξέλιξη στις μεθόδους των παραγόντων απειλών για παράκαμψη μέτρων ασφαλείας.

Κακόβουλα πακέτα που μεταμφιέζονται ως εργαλεία προγραμματιστών

Τα κακόβουλα πακέτα npm λήφθηκαν περισσότερες από 5.600 φορές προτού αφαιρεθούν. Μερικά από τα επικίνδυνα πακέτα περιελάμβαναν κενή συστοιχία-επικύρωση, twitterapis, dev-debugger-vite, snore-log, core-pino, events-utils, icloud-cod, cln-logger, node-clog, consolidate-log και consolidate-logger. Αυτά τα πακέτα είχαν σκοπό να μεταμφιεστούν ως νόμιμα βοηθητικά προγράμματα ή προγράμματα εντοπισμού σφαλμάτων, αλλά στην πραγματικότητα μετέφεραν τα κακόβουλα ωφέλιμα φορτία.

Υποκλοπή δεδομένων μέσω ψεύτικων συνεντεύξεων εργασίας

Αυτή η αποκάλυψη ακολουθεί ένα παρόμοιο περιστατικό που συνέβη ένα μήνα νωρίτερα, όταν ανακαλύφθηκαν έξι πακέτα npm που διαδίδουν το BeaverTail, έναν κλέφτη JavaScript που παρέδωσε επίσης μια κερκόπορτα βασισμένη σε Python που ονομάζεται InvisibleFerret. Ο απώτερος στόχος αυτών των επιθέσεων είναι να διεισδύσουν σε συστήματα προγραμματιστών υπό το πρόσχημα των διαδικασιών συνέντευξης εργασίας. Μόλις εισέλθει, το κακόβουλο λογισμικό κλέβει ευαίσθητες πληροφορίες, εξουδετερώνει χρηματοοικονομικά περιουσιακά στοιχεία και επιτρέπει στους χάκερ να διατηρούν επίμονη πρόσβαση στα παραβιασμένα συστήματα.

Σύνδεσμοι με το Lazarus Group και την καμπάνια Phantom Circuit

Ένα αξιοσημείωτο πακέτο, το dev-debugger-vite, χρησιμοποίησε μια διεύθυνση εντολών και ελέγχου (C2) που προηγουμένως είχε επισημανθεί από την SecurityScorecard ως συσχετισμένη με την Ομάδα Lazarus σε μια καμπάνια με το όνομα Phantom Circuit, η οποία έλαβε χώρα τον Δεκέμβριο του 2024. Άλλα πακέτα, όπως events-utils και icloud-cod, βρέθηκαν να επανατοποθετούνται από το bitualbuck. Στόχοι GitHub που παρατηρήθηκαν σε προηγούμενες καμπάνιες. Αυτή η αλλαγή, μαζί με τον κατάλογο "eiwork_hire" που βρίσκεται στο πακέτο icloud-cod, υποδηλώνει ότι οι εισβολείς συνεχίζουν να χρησιμοποιούν τακτικές που σχετίζονται με συνέντευξη εργασίας για να ενεργοποιήσουν τη μόλυνση.

Πολλαπλές παραλλαγές για τη μεγιστοποίηση της επιτυχίας της μόλυνσης

Μια ανάλυση ορισμένων από τα πακέτα, συμπεριλαμβανομένων των cln-logger, node-clog, consolidate-log και consolidate-logger, αποκάλυψε μικρές παραλλαγές στον κώδικα. Αυτές οι αλλαγές υποδηλώνουν ότι οι φορείς απειλών προσπαθούν να αυξήσουν το ποσοστό επιτυχίας της καμπάνιας τους αναπτύσσοντας πολλές παραλλαγές κακόβουλου λογισμικού. Παρά αυτές τις διαφορές, ο ενσωματωμένος κώδικας σε αυτά τα τέσσερα πακέτα λειτουργεί ως ένας φορτωτής RAT ικανός να ανακτά και να εκτελεί πρόσθετα ωφέλιμα φορτία από απομακρυσμένους διακομιστές. Σε αυτό το στάδιο, η ακριβής φύση του κακόβουλου λογισμικού που φορτώνεται παραμένει ασαφής, καθώς τα τελικά σημεία C2 δεν εξυπηρετούσαν πλέον ωφέλιμα φορτία όταν οι ερευνητές διερεύνησαν.

Το RAT Loader ενεργοποιεί τον απομακρυσμένο έλεγχο μολυσμένων συστημάτων

Ο Boychenko περιέγραψε τον κακόβουλο κώδικα ως έναν ενεργό φορτωτή με δυνατότητες RAT, χρησιμοποιώντας eval() για την ανάκτηση και εκτέλεση απομακρυσμένης JavaScript. Αυτή η μέθοδος επιτρέπει στους εισβολείς να αναπτύξουν οποιοδήποτε κακόβουλο λογισμικό παρακολούθησης της επιλογής τους, καθιστώντας τον φορτωτή RAT μια σημαντική απειλή από μόνος του.

Η καμπάνια μεταδοτικής συνέντευξης δεν δείχνει σημάδια επιβράδυνσης

Αυτά τα ευρήματα τονίζουν την επιμονή της εκστρατείας Contagious Interview. Οι εισβολείς δεν έχουν δείξει σημάδια επιβράδυνσης, συνεχίζοντας να δημιουργούν νέους λογαριασμούς npm και να αναπτύσσουν κακόβουλο κώδικα σε διάφορες πλατφόρμες όπως το npm, το GitHub και το Bitbucket. Έχουν επίσης διαφοροποιήσει τις τακτικές τους, δημοσιεύοντας νέο κακόβουλο λογισμικό με διαφορετικά ψευδώνυμα, χρησιμοποιώντας ένα μείγμα αποθετηρίων και αξιοποιώντας γνωστές παραλλαγές κακόβουλου λογισμικού όπως το BeaverTail και το InvisibleFerret μαζί με νεότερες παραλλαγές RAT/loader.

Το Tropidoor Malware εμφανίζεται σε επιθέσεις ηλεκτρονικού ψαρέματος με στόχευση προγραμματιστών

Εν τω μεταξύ, η νοτιοκορεατική εταιρεία κυβερνοασφάλειας AhnLab αποκάλυψε πρόσφατα μια άλλη πτυχή της εκστρατείας. Εντόπισαν μια επίθεση phishing με θέμα τη στρατολόγηση που παραδίδει το BeaverTail, το οποίο στη συνέχεια χρησιμοποιείται για την ανάπτυξη μιας προηγουμένως μη τεκμηριωμένης κερκόπορτας των Windows που ονομάζεται Tropidoor. Αυτή η κερκόπορτα, που παραδίδεται μέσω μιας βιβλιοθήκης npm που φιλοξενείται στο Bitbucket, είναι ικανή να εκτελεί ένα ευρύ φάσμα κακόβουλων ενεργειών. Το Tropidoor μπορεί να διεγείρει αρχεία, να συλλέγει πληροφορίες σχετικά με μονάδες δίσκου και αρχεία, να εκτελεί διαδικασίες, να καταγράφει στιγμιότυπα οθόνης, ακόμη και να διαγράφει ή να αντικαθιστά αρχεία με NULL ή ανεπιθύμητα δεδομένα.

Προηγμένες δυνατότητες Πρόταση σύνδεσης με γνωστό κακόβουλο λογισμικό Lazarus

Η ανάλυση του AhnLab διαπίστωσε ότι το Tropidoor λειτουργεί στη μνήμη μέσω ενός προγράμματος λήψης και έρχεται σε επαφή με έναν διακομιστή C2 για να λάβει οδηγίες. Το κακόβουλο λογισμικό χρησιμοποιεί απευθείας εντολές των Windows όπως schtasks, ping και reg, οι οποίες έχουν επίσης παρατηρηθεί σε άλλα κακόβουλα προγράμματα της ομάδας Lazarus, όπως το LightlessCan. Αυτή η σύνδεση συνδέει περαιτέρω την τρέχουσα δραστηριότητα με τη βορειοκορεατική ομάδα, η οποία είναι διαβόητη για τη χρήση εξελιγμένων τακτικών κυβερνοκατασκοπείας .

Προτρέπονται οι προγραμματιστές να παραμείνουν σε επαγρύπνηση ενάντια στις επιθέσεις της εφοδιαστικής αλυσίδας

Οι τελευταίες αποκαλύψεις υπογραμμίζουν τη συνεχιζόμενη απειλή από την Ομάδα Lazarus και άλλους παράγοντες της APT. Οι προγραμματιστές και οι χρήστες πρέπει να είναι προσεκτικοί κατά τη λήψη πακέτων ή το άνοιγμα αρχείων από άγνωστες ή ύποπτες πηγές. Καθώς αυτές οι επιθέσεις συνεχίζουν να εξελίσσονται, η επαγρύπνηση έναντι εκστρατειών ηλεκτρονικού ψαρέματος και η επιθεώρηση εξαρτήσεων για κακόβουλο κώδικα είναι ζωτικής σημασίας για την προστασία ευαίσθητων πληροφοριών από το να πέσουν σε λάθος χέρια.

Ο Επεξεργαστής Πληρωμών της EnigmaSoft Digital River GmbH Η υποβολή αίτησης για πτώχευση δεν επηρεάζει την προστασία κατά του κακόβουλου λογισμικού των πελατών του SpyHunter

Αναζήτηση

Αλλαγή Περιοχής