האקרים צפון קוריאנים מפיצים תוכנות זדוניות של BeaverTail דרך חבילות npm זדוניות

גל חדש של התקפות של האקרים צפון קוריאנים צץ, המכוון לקהילת פיתוח התוכנה באמצעות חבילות npm זדוניות. חבילות אלה, הקשורות למסע הפרסום המתמשך של ראיונות מדבקים, נועדו לספק את התוכנה הזדונית BeaverTail , כמו גם טוען טרויאני גישה מרחוק שהתגלה לאחרונה (RAT). קמפיין זה הוא חלק ממאמץ רחב יותר של קבוצת לזרוס לחדור למערכות, לגנוב נתונים רגישים ולשמור על גישה ארוכת טווח למכשירים שנפגעו.

טכניקות ערפול המשמשות להתחמקות מגילוי

לפי חוקר האבטחה של Socket Kirill Boychenko, הדגימות האחרונות הללו משתמשות בקידוד מחרוזת הקסדצימלית כטכניקת ערפול, מה שמקשה על זיהוין הן על ידי מערכות אוטומטיות והן על ידי ביקורת קוד ידנית. עדכון זה באסטרטגיית ההתחמקות של התוכנה הזדונית מראה התפתחות ברורה בשיטות של שחקני האיום לעקוף אמצעי אבטחה.

חבילות זדוניות המתחזות לכלי מפתחים

חבילות ה-npm הזדוניות הורדו למעלה מ-5,600 פעמים לפני שהוסרו. חלק מהחבילות המסוכנות כללו אימות מערך ריק, twitterapis, dev-debugger-vite, snore-log, core-pino, events-utils, icloud-cod, cln-logger, node-clog, consolide-log ו-consolide-logger. חבילות אלו נועדו להתחזות לכלי עזר לגיטימיים או לניפוי באגים, אך למעשה נשאו את המטענים הזדוניים.

גניבת נתונים באמצעות ראיונות עבודה מזויפים

חשיפה זו באה בעקבות תקרית דומה שהתרחשה חודש קודם לכן כאשר התגלו שש חבילות npm מפיצות את BeaverTail, גנב JavaScript שגם סיפק דלת אחורית מבוססת Python בשם InvisibleFerret. המטרה הסופית של התקפות אלו היא לחדור למערכות מפתחים במסווה של תהליכי ראיון עבודה. לאחר הכניסה, התוכנה הזדונית גונבת מידע רגיש, שואבת נכסים פיננסיים ומאפשרת להאקרים לשמור על גישה מתמשכת למערכות שנפגעו.

קישורים לקמפיין קבוצת לזרוס ומעגל הפנטום

חבילה בולטת אחת, dev-debugger-vite, השתמשה בכתובת פקודה ושליטה (C2) שסומנה בעבר על ידי SecurityScorecard כמשויכת לקבוצת Lazarus במסע פרסום בשם Phantom Circuit, שהתרחש בדצמבר 2024. חבילות אחרות, כגון events-utils ו-icloud-cod, נמצאו מקושרות מ-USB, Gibucket sectories. מסעות פרסום קודמים. שינוי זה, יחד עם ספריית "eiwork_hire" שנמצאת בחבילת icloud-cod, מצביעים על כך שהתוקפים ממשיכים להשתמש בטקטיקות הקשורות לראיונות עבודה כדי להפעיל את ההדבקה.

וריאציות מרובות כדי למקסם את הצלחת ההדבקה

ניתוח של חלק מהחבילות, כולל cln-logger, node-clog, consolide-log ו-consolide-logger, גילה שינויים קטנים בקוד. שינויים אלה מצביעים על כך ששחקני האיום מנסים להגדיל את שיעור ההצלחה של מסע הפרסום שלהם על ידי פריסת גרסאות תוכנות זדוניות מרובות. למרות ההבדלים הללו, הקוד המוטבע על פני ארבע החבילות הללו מתפקד כמטעין RAT המסוגל להביא ולהפעיל עומסים נוספים משרתים מרוחקים. בשלב זה, האופי המדויק של התוכנה הזדונית הנטענת נותר לא ברור, מכיוון שנקודות הקצה של C2 כבר לא שירתו מטענים כאשר החוקרים חקרו.

RAT Loader מאפשר שליטה מרחוק על מערכות נגועות

בויצ'נקו תיאר את הקוד הזדוני כמטעין פעיל עם יכולות RAT, תוך שימוש ב-eval() כדי לאחזר ולהריץ JavaScript מרחוק. שיטה זו מאפשרת לתוקפים לפרוס כל תוכנה זדונית המשך לבחירתם, מה שהופך את מטעין ה-RAT לאיום משמעותי בפני עצמו.

קמפיין ראיונות מדבק לא מראה סימני האטה

ממצאים אלו מדגישים את התמדה של מסע הראיונות המדבקים. התוקפים לא הראו סימני האטה, ממשיכים ליצור חשבונות npm חדשים ולפרוס קוד זדוני על פני פלטפורמות שונות כמו npm, GitHub ו-Bitbucket. הם גם גיוונו את הטקטיקות שלהם, פרסמו תוכנות זדוניות חדשות תחת כינויים שונים, תוך שימוש בשילוב של מאגרים, ומינוף גרסאות תוכנות זדוניות ידועות כמו BeaverTail ו-InvisibleFerret לצד גרסאות חדשות יותר של RAT/מטען.

תוכנת זדונית של Tropidoor מופיעה בהתקפות דיוג ממוקדות מפתחים

בינתיים, חברת אבטחת הסייבר הדרום קוריאנית AhnLab חשפה לאחרונה היבט נוסף של הקמפיין. הם זיהו מתקפת דיוג בנושא גיוס שמספקת את BeaverTail, המשמשת לאחר מכן לפריסת דלת אחורית של Windows שלא תועדה בעבר בשם Tropidoor. הדלת האחורית הזו, המועברת באמצעות ספריית npm המתארחת ב-Bitbucket, מסוגלת לבצע מגוון רחב של פעולות זדוניות. Tropidoor יכולה לסנן קבצים, לאסוף מידע על כוננים וקבצים, להפעיל תהליכים, לצלם צילומי מסך, ואפילו למחוק או להחליף קבצים עם נתוני NULL או זבל.

יכולות מתקדמות מציעות קישור לתוכנה זדונית ידועה של Lazarus

הניתוח של AhnLab מצא ש-Tropidoor פועלת בזיכרון דרך הורדה ויוצרת קשר עם שרת C2 כדי לקבל הוראות. התוכנה הזדונית משתמשת ישירות בפקודות Windows כגון schtasks, ping ו-reg, אשר נצפו גם בתוכנות זדוניות אחרות של Lazarus Group, כגון LightlessCan. הקשר הזה קושר עוד יותר את הפעילות הנוכחית לקבוצה הצפון קוריאנית, הידועה לשמצה בשימוש שלה בטקטיקות ריגול סייבר מתוחכמות .

מפתחים נקראו לשמור על ערנות מפני התקפות שרשרת האספקה

הגילויים האחרונים מדגישים את האיום המתמשך שמציבים קבוצת לזרוס ושחקני APT אחרים. מפתחים ומשתמשים כאחד צריכים לנקוט משנה זהירות בעת הורדת חבילות או פתיחת קבצים ממקורות לא ידועים או חשודים. ככל שהתקפות אלו ממשיכות להתפתח, שמירה על ערנות מפני מסעות פרסום דיוג ובדיקת תלות לאיתור קוד זדוני היא חיונית בהגנה על מידע רגיש מנפילה לידיים הלא נכונות.