मल्टी-लाइसेंस छूट उद्धरण
कंप्यूटर सुरक्षा उत्तर कोरियाई हैकर्स ने दुर्भावनापूर्ण एनपीएम पैकेजों के...

उत्तर कोरियाई हैकर्स ने दुर्भावनापूर्ण एनपीएम पैकेजों के माध्यम से बीवरटेल मैलवेयर फैलाया

Mura से कंप्यूटर सुरक्षा तक
अनुवाद करने के लिए:
हिन्दी

उत्तर कोरियाई हैकर्स के हमलों की एक नई लहर सामने आई है, जो दुर्भावनापूर्ण एनपीएम पैकेजों के माध्यम से सॉफ्टवेयर विकास समुदाय को निशाना बना रही है। चल रहे संक्रामक साक्षात्कार अभियान से जुड़े ये पैकेज, बीवरटेल मैलवेयर, साथ ही एक नए खोजे गए रिमोट एक्सेस ट्रोजन (आरएटी) लोडर को वितरित करने के लिए डिज़ाइन किए गए हैं। यह अभियान लाजरस समूह द्वारा सिस्टम में घुसपैठ करने, संवेदनशील डेटा चुराने और समझौता किए गए उपकरणों तक दीर्घकालिक पहुंच बनाए रखने के व्यापक प्रयास का हिस्सा है।

विषयसूची

पता लगाने से बचने के लिए इस्तेमाल की जाने वाली अस्पष्टीकरण तकनीकें

सॉकेट सुरक्षा शोधकर्ता किरिल बॉयचेंको के अनुसार, ये नवीनतम नमूने हेक्साडेसिमल स्ट्रिंग एन्कोडिंग को एक अस्पष्टीकरण तकनीक के रूप में उपयोग करते हैं, जिससे उन्हें स्वचालित सिस्टम और मैन्युअल कोड ऑडिट दोनों द्वारा पता लगाना कठिन हो जाता है। मैलवेयर की चोरी की रणनीति में यह अपडेट सुरक्षा उपायों को दरकिनार करने के लिए खतरे वाले अभिनेताओं के तरीकों में स्पष्ट विकास को दर्शाता है।

डेवलपर टूल के रूप में दुर्भावनापूर्ण पैकेज

दुर्भावनापूर्ण npm पैकेजों को हटाए जाने से पहले 5,600 से ज़्यादा बार डाउनलोड किया गया था। कुछ खतरनाक पैकेजों में empty-array-validator, twitterapis, dev-debugger-vite, snore-log, core-pino, events-utils, icloud-cod, cln-logger, node-clog,solid-log, औरsolid-logger शामिल थे। इन पैकेजों का उद्देश्य वैध उपयोगिताओं या डीबगर के रूप में दिखावा करना था, लेकिन वास्तव में ये दुर्भावनापूर्ण पेलोड ले जा रहे थे।

फर्जी नौकरी साक्षात्कार के माध्यम से डेटा चोरी

यह खुलासा एक महीने पहले हुई इसी तरह की घटना के बाद हुआ है, जब छह एनपीएम पैकेजों को बीवरटेल फैलाने का पता चला था, जो एक जावास्क्रिप्ट चोर है जिसने इनविजिबलफेरेट नामक एक पायथन-आधारित बैकडोर भी दिया था। इन हमलों का अंतिम लक्ष्य नौकरी साक्षात्कार प्रक्रियाओं की आड़ में डेवलपर सिस्टम में घुसपैठ करना है। एक बार अंदर जाने के बाद, मैलवेयर संवेदनशील जानकारी चुरा लेता है, वित्तीय संपत्तियों को चुरा लेता है, और हैकर्स को समझौता किए गए सिस्टम तक लगातार पहुंच बनाए रखने की अनुमति देता है।

लाज़ारस ग्रुप और फैंटम सर्किट अभियान के लिंक

एक उल्लेखनीय पैकेज, dev-debugger-vite, ने एक कमांड-एंड-कंट्रोल (C2) पता इस्तेमाल किया, जिसे पहले SecurityScorecard द्वारा फैंटम सर्किट नामक एक अभियान में लाजरस ग्रुप से जुड़े होने के रूप में चिह्नित किया गया था, जो दिसंबर 2024 में हुआ था। अन्य पैकेज, जैसे events-utils और icloud-cod, बिटबकेट रिपॉजिटरी से जुड़े पाए गए, जो पहले के अभियानों में देखे गए सामान्य GitHub लक्ष्यों से अलग थे। यह बदलाव, icloud-cod पैकेज के भीतर पाई गई "eiwork_hire" निर्देशिका के साथ, यह दर्शाता है कि हमलावर संक्रमण को सक्रिय करने के लिए नौकरी के साक्षात्कार से संबंधित रणनीति का उपयोग करना जारी रखते हैं।

संक्रमण की सफलता को अधिकतम करने के लिए कई प्रकार के वैरिएंट

cln-logger, node-clog,solid-log, औरsolid-logger सहित कुछ पैकेजों के विश्लेषण से कोड में छोटे-छोटे बदलाव सामने आए। ये बदलाव बताते हैं कि खतरा पैदा करने वाले लोग कई मैलवेयर वेरिएंट तैनात करके अपने अभियान की सफलता दर बढ़ाने की कोशिश कर रहे हैं। इन अंतरों के बावजूद, इन चार पैकेजों में एम्बेडेड कोड एक RAT लोडर के रूप में कार्य करता है जो रिमोट सर्वर से अतिरिक्त पेलोड लाने और निष्पादित करने में सक्षम है। इस स्तर पर, लोड किए जा रहे मैलवेयर की सटीक प्रकृति अस्पष्ट बनी हुई है, क्योंकि शोधकर्ताओं द्वारा जांच किए जाने पर C2 एंडपॉइंट अब पेलोड की सेवा नहीं कर रहे थे।

आरएटी लोडर संक्रमित सिस्टम के रिमोट कंट्रोल को सक्षम बनाता है

बॉयचेंको ने दुर्भावनापूर्ण कोड को RAT क्षमताओं के साथ एक सक्रिय लोडर के रूप में वर्णित किया, जो रिमोट जावास्क्रिप्ट को लाने और चलाने के लिए eval() का उपयोग करता है। यह विधि हमलावरों को अपनी पसंद के किसी भी अनुवर्ती मैलवेयर को तैनात करने की अनुमति देती है, जिससे RAT लोडर अपने आप में एक महत्वपूर्ण खतरा बन जाता है।

संक्रामक साक्षात्कार अभियान के धीमा पड़ने के कोई संकेत नहीं दिख रहे

ये निष्कर्ष संक्रामक साक्षात्कार अभियान की दृढ़ता पर जोर देते हैं। हमलावरों ने धीमा होने का कोई संकेत नहीं दिखाया है, नए npm खाते बनाना जारी रखा है और npm, GitHub और Bitbucket जैसे विभिन्न प्लेटफ़ॉर्म पर दुर्भावनापूर्ण कोड तैनात किया है। उन्होंने अपनी रणनीति में विविधता भी लाई है, विभिन्न उपनामों के तहत नए मैलवेयर प्रकाशित किए हैं, रिपॉजिटरी के मिश्रण का उपयोग किया है, और नए RAT/लोडर वेरिएंट के साथ-साथ BeaverTail और InvisibleFerret जैसे प्रसिद्ध मैलवेयर वेरिएंट का लाभ उठाया है।

ट्रॉपिडोर मैलवेयर डेवलपर-लक्षित फ़िशिंग हमलों में उभरता है

इस बीच, दक्षिण कोरियाई साइबर सुरक्षा कंपनी AhnLab ने हाल ही में अभियान के एक और पहलू का खुलासा किया है। उन्होंने एक भर्ती-थीम वाले फ़िशिंग हमले की पहचान की जो बीवरटेल को डिलीवर करता है, जिसका उपयोग ट्रॉपिडोर नामक पहले से अनिर्धारित विंडोज बैकडोर को तैनात करने के लिए किया जाता है। बिटबकेट पर होस्ट की गई एनपीएम लाइब्रेरी के माध्यम से डिलीवर किया गया यह बैकडोर कई तरह की दुर्भावनापूर्ण क्रियाएं करने में सक्षम है। ट्रॉपिडोर फ़ाइलों को एक्सफ़िलिएट कर सकता है, ड्राइव और फ़ाइलों के बारे में जानकारी इकट्ठा कर सकता है, प्रक्रियाएँ चला सकता है, स्क्रीनशॉट कैप्चर कर सकता है और यहाँ तक कि NULL या जंक डेटा वाली फ़ाइलों को हटा या ओवरराइट भी कर सकता है।

उन्नत क्षमताएं ज्ञात लाज़ारस मैलवेयर से लिंक का सुझाव देती हैं

AhnLab के विश्लेषण में पाया गया कि ट्रॉपिडोर एक डाउनलोडर के माध्यम से मेमोरी में काम करता है और निर्देश प्राप्त करने के लिए C2 सर्वर से संपर्क करता है। मैलवेयर सीधे विंडोज कमांड जैसे कि schtasks, ping, और reg का उपयोग करता है, जो कि अन्य लाजरस ग्रुप मैलवेयर जैसे कि लाइटलेसकैन में भी देखा गया है। यह कनेक्शन वर्तमान गतिविधि को उत्तर कोरियाई समूह से जोड़ता है, जो परिष्कृत साइबर जासूसी रणनीति के उपयोग के लिए कुख्यात है।

डेवलपर्स से आपूर्ति श्रृंखला हमलों के प्रति सतर्क रहने का आग्रह किया गया

नवीनतम खुलासे लाजरस समूह और अन्य APT अभिनेताओं द्वारा उत्पन्न निरंतर खतरे को रेखांकित करते हैं। डेवलपर्स और उपयोगकर्ताओं को पैकेज डाउनलोड करते समय या अज्ञात या संदिग्ध स्रोतों से फ़ाइलें खोलते समय सावधानी बरतने की आवश्यकता है। चूंकि ये हमले लगातार विकसित हो रहे हैं, इसलिए फ़िशिंग अभियानों के प्रति सतर्क रहना और दुर्भावनापूर्ण कोड के लिए निर्भरताओं का निरीक्षण करना संवेदनशील जानकारी को गलत हाथों में पड़ने से बचाने के लिए महत्वपूर्ण है।

लोड हो रहा है...