Pohjois-Korean hakkerit levittävät BeaverTail-haittaohjelmia haitallisten npm-pakettien kautta
Pohjois-Korean hakkereilta on ilmaantunut uusi hyökkäysaalto, joka kohdistuu ohjelmistokehitysyhteisöön haitallisten npm-pakettien kautta. Nämä meneillään olevaan Contagious Interview -kampanjaan liittyvät paketit on suunniteltu toimittamaan BeaverTail-haittaohjelma sekä äskettäin löydetty etäkäyttötroijalainen (RAT) -lataaja. Tämä kampanja on osa Lazarus Groupin laajempaa pyrkimystä tunkeutua järjestelmiin, varastaa arkaluonteisia tietoja ja ylläpitää pitkäaikaista pääsyä vaarantuneisiin laitteisiin.
Sisällysluettelo
Havaitsemisen välttämiseen käytetyt hämärätekniikat
Socket-tietoturvatutkijan Kirill Boychenkon mukaan näissä uusimmissa näytteissä käytetään heksadesimaalimerkkijonokoodausta hämärätekniikkana, mikä tekee niistä vaikeampaa havaita sekä automaattisilla järjestelmillä että manuaalisilla kooditarkastuksilla. Tämä haittaohjelmien kiertostrategian päivitys osoittaa selkeän kehityksen uhkatoimijoiden tavoissa ohittaa turvatoimenpiteet.
Kehittäjätyökaluiksi naamioituneet haittapaketit
Haitalliset npm-paketit ladattiin yli 5 600 kertaa ennen kuin ne poistettiin. Jotkut vaarallisista paketeista sisälsivät tyhjä-array-validator, twitterapis, dev-debugger-vite, snore-log, core-pino, events-utils, icloud-cod, cln-logger, node-clog, consolidate-log ja consolidate-logger. Nämä paketit oli tarkoitettu naamioitumaan laillisiksi apuohjelmiksi tai virheenkorjaajiksi, mutta itse asiassa ne kantoivat haitallisia hyötykuormia.
Tietojen varastaminen väärennetyillä työhaastatteluilla
Tämä paljastaminen seuraa samanlaista tapausta, joka tapahtui kuukautta aiemmin, kun havaittiin kuusi npm-pakettia levittävän BeaverTailia, JavaScript-varastajaa, joka toimitti myös Python-pohjaisen takaoven nimeltä InvisibleFerret. Näiden hyökkäysten perimmäisenä tavoitteena on soluttautua kehittäjäjärjestelmiin työhaastatteluprosessien varjolla. Haittaohjelmat varastavat arkaluontoisia tietoja, keräävät taloudellisia varoja ja antavat hakkereille mahdollisuuden ylläpitää jatkuvaa pääsyä vaarantuneisiin järjestelmiin.
Linkit Lazarus Groupiin ja Phantom Circuit -kampanjaan
Yksi merkittävä paketti, dev-debugger-vite, käytti C2-osoitetta, jonka SecurityScorecard merkitsi aiemmin Lazarus-ryhmään liittyväksi kampanjassa nimeltä Phantom Circuit, joka tapahtui joulukuussa 2024. Muita paketteja, kuten event-utils ja icloud-cod, havaittiin linkitettynä osoitteesta Bitbbuckettergosi, Bitbbuckettergosittories. aiemmissa kampanjoissa nähdyt kohteet. Tämä muutos yhdessä icloud-cod-paketin "eiwork_hire"-hakemiston kanssa osoittaa, että hyökkääjät käyttävät edelleen työhaastatteluihin liittyviä taktiikoita tartunnan aktivoimiseksi.
Useita muunnelmia tartunnan onnistumisen maksimoimiseksi
Joidenkin pakettien analyysi, mukaan lukien cln-logger, node-clog, consolidate-log ja consolidate-logger, paljasti pieniä muutoksia koodissa. Nämä muutokset viittaavat siihen, että uhkatoimijat yrittävät lisätä kampanjansa onnistumisastetta ottamalla käyttöön useita haittaohjelmaversioita. Näistä eroista huolimatta näiden neljän paketin sulautettu koodi toimii RAT-lataajana, joka pystyy hakemaan ja suorittamaan lisähyötykuormia etäpalvelimista. Tässä vaiheessa ladattavan haittaohjelman tarkka luonne on edelleen epäselvä, sillä C2-päätepisteet eivät enää palvelleet hyötykuormia tutkijoiden tutkiessa.
RAT Loader mahdollistaa tartunnan saaneiden järjestelmien etähallinnan
Boychenko kuvaili haitallista koodia aktiiviseksi latausohjelmaksi, jossa on RAT-ominaisuudet ja joka käyttää eval()-komentoa etä-JavaScriptin hakemiseen ja suorittamiseen. Tämän menetelmän avulla hyökkääjät voivat ottaa käyttöön minkä tahansa valitsemansa seurantahaittaohjelman, mikä tekee RAT-lataimesta itsessään merkittävän uhan.
Tarttuva haastattelukampanja ei osoita merkkejä hidastumisesta
Nämä havainnot korostavat Contagious Interview -kampanjan jatkuvuutta. Hyökkääjät eivät ole osoittaneet merkkejä hidastumisesta, vaan ovat jatkaneet uusien npm-tilien luomista ja haitallisen koodin käyttöönottoa eri alustoilla, kuten npm, GitHub ja Bitbucket. He ovat myös monipuolistaneet taktiikkaansa julkaisemalla uusia haittaohjelmia eri aliaksilla, käyttämällä useita tietovarastoja ja hyödyntäneet tunnettuja haittaohjelmien muunnelmia, kuten BeaverTail ja InvisibleFerret, uudempien RAT/loader-versioiden rinnalla.
Tropidoor-haittaohjelma ilmaantuu kehittäjien kohdistetuissa tietojenkalasteluhyökkäyksissä
Eteläkorealainen kyberturvallisuusyhtiö AhnLab on äskettäin paljastanut kampanjan toisen näkökohdan. He tunnistivat rekrytointiaiheisen tietojenkalasteluhyökkäyksen, joka toimittaa BeaverTailin, jota käytetään sitten ottamaan käyttöön aiemmin dokumentoimaton Windows-takaovi nimeltä Tropidoor. Tämä Bitbucketissa isännöidyn npm-kirjaston kautta toimitettu takaovi pystyy suorittamaan monenlaisia haitallisia toimia. Tropidoor voi suodattaa tiedostoja, kerätä tietoja asemista ja tiedostoista, suorittaa prosesseja, kaapata kuvakaappauksia ja jopa poistaa tai korvata tiedostoja NULL- tai roskatiedoilla.
Lisäominaisuudet Ehdotuslinkki tunnettuun Lazarus-haittaohjelmaan
AhnLabin analyysi havaitsi, että Tropidoor toimii muistissa latausohjelman kautta ja ottaa yhteyttä C2-palvelimeen saadakseen ohjeita. Haittaohjelma käyttää suoraan Windowsin komentoja, kuten schtasks, ping ja reg, joita on havaittu myös muissa Lazarus Groupin haittaohjelmissa, kuten LightlessCan. Tämä yhteys yhdistää nykyisen toiminnan edelleen pohjoiskorealaiseen ryhmään, joka on surullisen kuuluisa kehittyneistä kybervakoilutaktiikoistaan .
Kehittäjiä kehotettiin pysymään valppaina toimitusketjuhyökkäyksiä vastaan
Viimeisimmät paljastukset korostavat Lazarus-ryhmän ja muiden APT:n toimijoiden aiheuttamaa jatkuvaa uhkaa. Sekä kehittäjien että käyttäjien on noudatettava varovaisuutta lataaessaan paketteja tai avattaessa tiedostoja tuntemattomista tai epäilyttävistä lähteistä. Kun nämä hyökkäykset kehittyvät jatkuvasti, on tärkeää pysyä valppaana tietojenkalastelukampanjoita vastaan ja tarkistaa haitallisen koodin riippuvuudet, jotta arkaluontoiset tiedot eivät joutuisi vääriin käsiin.