هکرهای کره شمالی بدافزار BeaverTail را از طریق بسته های مخرب npm منتشر می کنند

ترجمه به:

موج جدیدی از حملات هکرهای کره شمالی ظاهر شده است که جامعه توسعه نرم افزار را از طریق بسته های مخرب npm هدف قرار می دهد. این بسته‌ها، مرتبط با کمپین مصاحبه مسری در حال انجام، برای ارائه بدافزار BeaverTail و همچنین یک بارکننده تروجان دسترسی از راه دور (RAT) تازه کشف شده طراحی شده‌اند . این کمپین بخشی از تلاش گسترده تر گروه لازاروس برای نفوذ به سیستم ها، سرقت داده های حساس و حفظ دسترسی طولانی مدت به دستگاه های در معرض خطر است.

فهرست مطالب

تکنیک های مبهم سازی که برای فرار از تشخیص استفاده می شود

به گفته محقق امنیت Socket، Kirill Boychenko، این نمونه‌های اخیر از رمزگذاری رشته‌های هگزا دسیمال به عنوان یک تکنیک مبهم استفاده می‌کنند که تشخیص آن‌ها توسط سیستم‌های خودکار و ممیزی کد دستی دشوارتر می‌شود. این به‌روزرسانی در استراتژی فرار بدافزار، تحولی واضح در روش‌های عوامل تهدید برای دور زدن اقدامات امنیتی را نشان می‌دهد.

بسته های مخرب که به عنوان ابزارهای توسعه دهنده ظاهر می شوند

بسته های مخرب npm قبل از حذف بیش از 5600 بار دانلود شدند. برخی از بسته‌های خطرناک شامل Valid-Array-Validator، twitterapis، dev-debugger-vite، snore-log، core-pino، event-utils، icloud-cod، cln-logger، node-clog، consolidate-log و consolidate-logger بودند. این بسته‌ها در نظر گرفته شده بودند تا به عنوان ابزارهای مفید یا اشکال‌زدای قانونی ظاهر شوند، اما در واقع محموله‌های مخرب را حمل می‌کردند.

سرقت داده ها از طریق مصاحبه های شغلی جعلی

این افشاگری به دنبال حادثه مشابهی رخ داد که یک ماه قبل از آن رخ داد، زمانی که شش بسته npm در حال گسترش BeaverTail، یک سارق جاوا اسکریپت که همچنین یک درب پشتی مبتنی بر پایتون به نام InvisibleFerret را ارائه می‌داد، رخ داد. هدف نهایی این حملات نفوذ به سیستم های توسعه دهنده تحت پوشش فرآیندهای مصاحبه شغلی است. بدافزار به محض ورود، اطلاعات حساس را سرقت می کند، دارایی های مالی را مخفی می کند و به هکرها اجازه می دهد تا دسترسی دائمی به سیستم های در معرض خطر را حفظ کنند.

پیوندهایی به گروه لازاروس و کمپین فانتوم مدار

یک بسته قابل توجه، dev-debugger-vite، از یک آدرس فرمان و کنترل (C2) استفاده کرد که قبلاً توسط SecurityScorecard به عنوان مرتبط با گروه Lazarus در کمپینی به نام Phantom Circuit که در دسامبر 2024 رخ داد، پرچم‌گذاری شده بود. بسته‌های دیگر، مانند event-utils و icloud-cod، یافت شد که از طریق Bitual-cod مجدداً پیوند داده می‌شوند. اهداف GitHub که در کمپین های قبلی دیده شده بودند. این تغییر، همراه با دایرکتوری "eiwork_hire" موجود در بسته icloud-cod، نشان می دهد که مهاجمان همچنان از تاکتیک های مرتبط با مصاحبه شغلی برای فعال کردن عفونت استفاده می کنند.

انواع مختلف برای به حداکثر رساندن موفقیت عفونت

تجزیه و تحلیل برخی از بسته ها، از جمله cln-logger، node-clog، consolidate-log و consolidate-logger، تغییرات کوچکی را در کد نشان داد. این تغییرات نشان می‌دهد که عوامل تهدید تلاش می‌کنند تا میزان موفقیت کمپین خود را با استقرار انواع بدافزارهای مختلف افزایش دهند. علی‌رغم این تفاوت‌ها، کد تعبیه‌شده در این چهار بسته به‌عنوان یک بارکننده RAT که قادر به دریافت و اجرای بارهای اضافی از سرورهای راه دور است، عمل می‌کند. در این مرحله، ماهیت دقیق بدافزاری که بارگذاری می‌شود نامشخص است، زیرا در زمان بررسی محققان، نقاط پایانی C2 دیگر به محموله‌ها سرویس نمی‌دادند.

RAT Loader کنترل از راه دور سیستم های آلوده را فعال می کند

Boychenko کد مخرب را به عنوان یک لودر فعال با قابلیت های RAT توصیف کرد که از eval() برای واکشی و اجرای جاوا اسکریپت راه دور استفاده می کند. این روش به مهاجمان اجازه می دهد تا هر بدافزار پیگیری را که انتخاب می کنند، مستقر کنند، و به خودی خود، بارگذار RAT را به یک تهدید مهم تبدیل می کند.

کمپین مصاحبه مسری هیچ نشانه ای از کندی را نشان نمی دهد

این یافته ها بر تداوم کمپین مصاحبه مسری تأکید می کند. مهاجمان هیچ نشانه ای از کاهش سرعت نشان نداده اند و همچنان به ایجاد حساب های جدید npm و استقرار کدهای مخرب در پلتفرم های مختلف مانند npm، GitHub و Bitbucket ادامه می دهند. آن‌ها همچنین تاکتیک‌های خود را متنوع کرده‌اند، بدافزار جدید را تحت نام‌های مستعار مختلف منتشر کرده‌اند، با استفاده از ترکیبی از مخازن، و از انواع بدافزارهای شناخته‌شده مانند BeaverTail و InvisibleFerret در کنار انواع جدیدتر RAT/loader استفاده می‌کنند.

بدافزار Tropidoor در حملات فیشینگ با هدف توسعه‌دهندگان ظاهر می‌شود

در همین حال، شرکت امنیت سایبری کره جنوبی AhnLab اخیرا جنبه دیگری از این کمپین را کشف کرده است. آنها یک حمله فیشینگ با مضمون استخدام را شناسایی کردند که BeaverTail را ارائه می دهد، که سپس برای استقرار یک درب پشتی ویندوز که قبلاً مستند نشده بود به نام Tropidoor استفاده می شود. این درب پشتی که از طریق یک کتابخانه npm میزبانی شده در Bitbucket ارائه می شود، قادر به انجام طیف گسترده ای از اقدامات مخرب است. Tropidoor می‌تواند فایل‌ها را استخراج کند، اطلاعاتی در مورد درایوها و فایل‌ها جمع‌آوری کند، فرآیندها را اجرا کند، تصاویری از صفحه بگیرد و حتی فایل‌ها را با داده‌های ناخواسته یا NULL حذف یا بازنویسی کند.

قابلیت‌های پیشرفته پیوند به بدافزار Lazarus شناخته شده را پیشنهاد می‌کند

تجزیه و تحلیل AhnLab نشان داد که Tropidoor از طریق یک دانلودر در حافظه کار می کند و برای دریافت دستورالعمل ها با سرور C2 تماس می گیرد. این بدافزار مستقیماً از دستورات ویندوز مانند schtasks، ping و reg استفاده می کند که در سایر بدافزارهای گروه Lazarus مانند LightlessCan نیز مشاهده شده است. این ارتباط، فعالیت فعلی را بیشتر به گروه کره شمالی مرتبط می‌کند، که به دلیل استفاده از تاکتیک‌های جاسوسی سایبری پیچیده بدنام است.

از توسعه دهندگان خواسته شد در برابر حملات زنجیره تامین هوشیار بمانند

آخرین افشاگری‌ها بر تهدید مداوم گروه لازاروس و دیگر بازیگران APT تاکید می‌کند. توسعه دهندگان و کاربران به طور یکسان باید هنگام دانلود بسته ها یا باز کردن فایل ها از منابع ناشناس یا مشکوک احتیاط کنند. همانطور که این حملات به تکامل خود ادامه می دهند، هوشیاری در برابر کمپین های فیشینگ و بازرسی وابستگی ها برای کدهای مخرب برای محافظت از اطلاعات حساس در برابر افتادن به دست اشتباه بسیار مهم است.

پردازشگر پرداخت EnigmaSoft's Digital River GmbH تشکیل پرونده برای ورشکستگی تأثیری بر محافظت ضد بدافزار مشتریان SpyHunter ندارد

جستجو کردن

تغییر منطقه