Sjevernokorejski hakeri šire zlonamjerni softver BeaverTail putem zlonamjernih npm paketa
Pojavio se novi val napada sjevernokorejskih hakera, koji su ciljali na razvojnu zajednicu softvera putem zlonamjernih npm paketa. Ovi paketi, povezani s kampanjom Contagious Interview koja je u tijeku, dizajnirani su za isporuku zlonamjernog softvera BeaverTail , kao i novootkrivenog trojanskog programa za daljinski pristup (RAT). Ova kampanja dio je širih napora Lazarus grupe za infiltraciju u sustave, krađu osjetljivih podataka i održavanje dugoročnog pristupa ugroženim uređajima.
Sadržaj
Tehnike maskiranja koje se koriste za izbjegavanje otkrivanja
Prema istraživaču sigurnosti Socketa Kirillu Boychenkou, ovi najnoviji uzorci koriste heksadecimalno kodiranje niza kao tehniku maskiranja, što ih čini težim za otkrivanje i automatiziranim sustavima i ručnim revizijama koda. Ovo ažuriranje strategije izbjegavanja zlonamjernog softvera pokazuje jasnu evoluciju u metodama aktera prijetnje za zaobilaženje sigurnosnih mjera.
Zlonamjerni paketi maskirani kao alati za razvojne programere
Zlonamjerni npm paketi preuzeti su više od 5600 puta prije nego što su uklonjeni. Neki od opasnih paketa uključivali su empty-array-validator, twitterapis, dev-debugger-vite, snore-log, core-pino, events-utils, icloud-cod, cln-logger, node-clog, consolidate-log i consolidate-logger. Ti su paketi trebali biti maskirani kao legitimni uslužni programi ili programi za otklanjanje pogrešaka, ali su zapravo nosili zlonamjerni sadržaj.
Krađa podataka putem lažnih razgovora za posao
Ovo otkrivanje slijedi nakon sličnog incidenta koji se dogodio mjesec dana ranije kada je otkriveno šest npm paketa koji šire BeaverTail, kradljivca JavaScripta koji je također isporučio backdoor temeljen na Pythonu pod nazivom InvisibleFerret. Krajnji cilj ovih napada je infiltracija u sustave programera pod krinkom procesa razgovora za posao. Jednom kada uđe, zlonamjerni softver krade osjetljive podatke, crpi financijsku imovinu i omogućuje hakerima da zadrže trajni pristup ugroženim sustavima.
Veze na Lazarus Group i kampanju Phantom Circuit
Jedan značajni paket, dev-debugger-vite, koristio je naredbeno-kontrolnu (C2) adresu koju je prethodno označio SecurityScorecard kao povezanu s Lazarus grupom u kampanji nazvanoj Phantom Circuit, koja se dogodila u prosincu 2024. Za druge pakete, kao što su events-utils i icloud-cod, otkriveno je da su povezani s Bitbucket repozitorijima, što se razlikuje od uobičajenog GitHuba. ciljeve viđene u ranijim kampanjama. Ova promjena, zajedno s direktorijem "eiwork_hire" koji se nalazi unutar paketa icloud-cod, ukazuje na to da napadači nastavljaju koristiti taktike povezane s razgovorom za posao kako bi aktivirali infekciju.
Više varijanti za maksimiziranje uspjeha infekcije
Analiza nekih od paketa, uključujući cln-logger, node-clog, consolidate-log i consolidate-logger, otkrila je male varijacije u kodu. Ove promjene sugeriraju da akteri prijetnji pokušavaju povećati stopu uspjeha svoje kampanje uvođenjem više varijanti zlonamjernog softvera. Unatoč ovim razlikama, ugrađeni kod u ova četiri paketa funkcionira kao RAT loader sposoban dohvaćati i izvršavati dodatna opterećenja s udaljenih poslužitelja. U ovoj fazi, točna priroda zlonamjernog softvera koji se učitava ostaje nejasna, jer C2 krajnje točke više nisu posluživale korisni teret kada su istraživači istraživali.
RAT Loader Omogućuje daljinsko upravljanje zaraženim sustavima
Boychenko je zlonamjerni kod opisao kao aktivni učitavač s RAT mogućnostima, koristeći eval() za dohvaćanje i pokretanje udaljenog JavaScripta. Ova metoda omogućuje napadačima da postave bilo koji naknadni zlonamjerni softver po svom izboru, čineći RAT loader sam po sebi značajnom prijetnjom.
Zarazna kampanja intervjua ne pokazuje znakove usporavanja
Ovi nalazi naglašavaju upornost kampanje Zarazni intervju. Napadači nisu pokazali znakove usporavanja, nastavljajući stvarati nove npm račune i implementirati zlonamjerni kod na raznim platformama kao što su npm, GitHub i Bitbucket. Također su diverzificirali svoje taktike, objavljujući novi zlonamjerni softver pod različitim aliasima, koristeći kombinaciju spremišta i koristeći dobro poznate varijante zlonamjernog softvera kao što su BeaverTail i InvisibleFerret uz novije varijante RAT/loader.
Tropidoor zlonamjerni softver pojavljuje se u phishing napadima usmjerenim na programere
U međuvremenu, južnokorejska tvrtka za kibernetičku sigurnost AhnLab nedavno je otkrila još jedan aspekt kampanje. Identificirali su phishing napad usmjeren na novačenje koji isporučuje BeaverTail, koji se zatim koristi za postavljanje prethodno nedokumentiranog Windows backdoor-a pod nazivom Tropidoor. Ovaj backdoor, isporučen putem npm biblioteke smještene na Bitbucketu, sposoban je izvesti širok raspon zlonamjernih radnji. Tropidoor može eksfiltrirati datoteke, prikupiti informacije o pogonima i datotekama, pokrenuti procese, snimiti snimke zaslona, pa čak i izbrisati ili prebrisati datoteke s NULL ili neželjenim podacima.
Napredne mogućnosti predlažu vezu s poznatim zlonamjernim softverom Lazarus
Analiza AhnLaba otkrila je da Tropidoor radi u memoriji putem programa za preuzimanje i kontaktira C2 poslužitelj kako bi primio upute. Zlonamjerni softver izravno koristi Windows naredbe kao što su schtasks, ping i reg, koje su također primijećene u drugom zlonamjernom softveru grupe Lazarus, kao što je LightlessCan. Ova veza dodatno povezuje trenutnu aktivnost sa sjevernokorejskom skupinom, koja je zloglasna po korištenju sofisticirane taktike cyber špijunaže .
Programeri pozvani da ostanu oprezni protiv napada na lanac opskrbe
Najnovija otkrića naglašavaju stalnu prijetnju koju predstavljaju Lazarus Group i drugi akteri APT-a. Programeri i korisnici podjednako trebaju biti oprezni pri preuzimanju paketa ili otvaranju datoteka iz nepoznatih ili sumnjivih izvora. Kako se ti napadi nastavljaju razvijati, opreznost protiv kampanja krađe identiteta i provjera ovisnosti o zlonamjernom kodu ključni su za zaštitu osjetljivih informacija od pada u pogrešne ruke.