Põhja-Korea häkkerid levitavad BeaverTail pahavara pahatahtlike npm-pakettide kaudu
Ilmnes Põhja-Korea häkkerite uus rünnakute laine, mis on suunatud tarkvaraarenduse kogukonnale pahatahtlike npm-pakettide kaudu. Need paketid, mis on seotud käimasoleva Contagious Interview kampaaniaga, on mõeldud BeaverTaili pahavara ja äsja avastatud kaugjuurdepääsu trooja (RAT) laadija edastamiseks . See kampaania on osa Lazarus Groupi laiemast püüdlusest tungida süsteemidesse, varastada tundlikke andmeid ja säilitada pikaajaline juurdepääs ohustatud seadmetele.
Sisukord
Tuvastamisest kõrvalehoidmiseks kasutatavad hägustamise tehnikad
Socketi turbeuurija Kirill Boychenko sõnul kasutavad need uusimad proovid hägustamistehnikana kuueteistkümnendsüsteemi stringkodeeringut, mis muudab nende tuvastamise nii automatiseeritud süsteemide kui ka käsitsi koodiauditite abil raskemaks. See pahavara kõrvalehoidmise strateegia värskendus näitab selget arengut ohus osalejate meetodites turvameetmetest mööda hiilimiseks.
Pahatahtlikud paketid, mis maskeeritakse arendaja tööriistadena
Pahatahtlikud npm-paketid laaditi enne nende eemaldamist alla üle 5600 korra. Mõned ohtlikud paketid sisaldasid tühja-array-validator, twitterapis, dev-debugger-vite, snore-log, core-pino, events-utils, icloud-cod, cln-logger, node-clog, consolidate-log ja consolidate-logger. Need paketid pidid maskeeruma seaduslike utiliitidena või siluritena, kuid tegelikult kandsid need pahatahtlikku kasulikku koormust.
Andmete varastamine võltsitud tööintervjuude kaudu
See avalikustamine järgneb sarnasele juhtumile, mis leidis aset kuu aega varem, kui avastati kuus npm paketti, mis levitasid BeaverTaili, JavaScripti varastajat, mis tarnis ka Pythoni-põhise tagaukse nimega InvisibleFerret. Nende rünnakute lõppeesmärk on tungida arendajasüsteemidesse tööintervjuu protsesside varjus. Sisse sattudes varastab pahavara tundlikku teavet, sifonkib finantsvarasid ja võimaldab häkkeritel säilitada püsiva juurdepääsu ohustatud süsteemidele.
Lingid Lazarus Groupi ja Phantom Circuit'i kampaaniale
Üks tähelepanuväärne pakett, dev-debugger-vite, kasutas käsu-ja-juhtimise (C2) aadressi, mille SecurityScorecard märkis varem 2024. aasta detsembris toimunud kampaanias nimega Phantom Circuit seotud Lazaruse rühmaga. Leiti, et teised paketid, nagu Events-utils ja icloud-cod, olid tavaliselt lingitud saidilt Bitbuckettergosi, Bitbuckettergosi varasemates kampaaniates nähtud sihtmärgid. See nihe koos icloud-codi paketis leiduva kataloogiga "eiwork_hire" viitab sellele, et ründajad kasutavad nakkuse aktiveerimiseks jätkuvalt tööintervjuudega seotud taktikaid.
Mitu varianti nakatumise edu maksimeerimiseks
Mõnede pakettide, sealhulgas cln-logger, node-clog, consolidate-log ja consolidate-logger, analüüs näitas koodis väikseid erinevusi. Need muudatused viitavad sellele, et ohus osalejad üritavad oma kampaania edukust suurendada, juurutades mitut pahavara varianti. Nendele erinevustele vaatamata toimib nende nelja paketi manustatud kood RAT-laadurina, mis suudab tuua ja käivitada kaugserveritest täiendavaid kasulikke koormusi. Selles etapis jääb laaditava pahavara täpne olemus ebaselgeks, kuna C2 lõpp-punktid ei teenindanud uurijate uurimise ajal enam kasulikke koormusi.
RAT Loader võimaldab nakatunud süsteemide kaugjuhtimist
Boytšenko kirjeldas pahatahtlikku koodi kui aktiivset RAT-i võimalustega laadijat, mis kasutab kaug-JavaScripti toomiseks ja käitamiseks eval(). See meetod võimaldab ründajatel juurutada mis tahes enda valitud järel pahavara, muutes RAT-laaduri iseenesest oluliseks ohuks.
Nakkuslik intervjuukampaania ei näita aeglustumise märke
Need leiud rõhutavad nakkusliku intervjuu kampaania püsivust. Ründajad ei ole näidanud märke aeglustumisest, jätkates uute npm-kontode loomist ja pahatahtliku koodi juurutamist erinevatel platvormidel, nagu npm, GitHub ja Bitbucket. Samuti on nad mitmekesistanud oma taktikat, avaldades uut pahavara erinevate varjunimede all, kasutades erinevaid hoidlaid ja võimendades tuntud pahavara variante nagu BeaverTail ja InvisibleFerret koos uuemate RAT/loader variantidega.
Tropidoori pahavara ilmneb arendajatele suunatud andmepüügirünnakutes
Vahepeal on Lõuna-Korea küberturvalisuse ettevõte AhnLab hiljuti paljastanud kampaania teise aspekti. Nad tuvastasid värbamisteemalise andmepüügirünnaku, mis edastab BeaverTaili, mida seejärel kasutatakse varem dokumentideta Windowsi tagaukse nimega Tropidoor juurutamiseks. See tagauks, mis edastatakse Bitbucketis hostitud npm teegi kaudu, on võimeline sooritama mitmesuguseid pahatahtlikke toiminguid. Tropidoor saab faile välja filtreerida, koguda teavet draivide ja failide kohta, käivitada protsesse, jäädvustada ekraanipilte ja isegi NULL-i või rämpsandmetega faile kustutada või üle kirjutada.
Täpsemad võimalused soovitavad linki tuntud Lazaruse pahavara juurde
AhnLabi analüüs näitas, et Tropidoor töötab mälus allalaadija kaudu ja võtab juhiste saamiseks ühendust C2 serveriga. Pahavara kasutab otseselt Windowsi käske, nagu schtasks, ping ja reg, mida on täheldatud ka muus Lazarus Groupi pahavaras, nagu LightlessCan. See seos seob praegust tegevust veelgi Põhja-Korea rühmitusega, mis on kurikuulus keeruka küberspionaaži taktika kasutamise poolest.
Arendajad kutsusid üles olema tarneahela rünnakute suhtes valvsad
Viimased paljastused rõhutavad Lazaruse grupi ja teiste APT osalejate jätkuvat ohtu. Nii arendajad kui ka kasutajad peavad tundmatutest või kahtlastest allikatest pärit pakettide allalaadimisel või failide avamisel olema ettevaatlikud. Kuna need rünnakud arenevad edasi, on tundliku teabe valedesse kätesse sattumise eest tundliku teabe kaitsmisel ülioluline andmepüügikampaaniate suhtes valvsus olla ja pahatahtliku koodi sõltuvuste kontrollimine.