Az észak-koreai hackerek a BeaverTail rosszindulatú programokat rosszindulatú npm-csomagokon keresztül terjesztik
Az észak-koreai hackerek támadásainak új hulláma jelent meg, rosszindulatú npm-csomagokon keresztül a szoftverfejlesztő közösséget célozva. Ezek a csomagok, amelyek a folyamatban lévő Contagious Interview kampányhoz kapcsolódnak, a BeaverTail malware, valamint egy újonnan felfedezett távoli hozzáférésű trójai (RAT) betöltő szállítására szolgálnak . Ez a kampány a Lazarus Group szélesebb körű törekvésének része, amelynek célja a rendszerekbe való beszivárgás, érzékeny adatok ellopása, valamint a feltört eszközökhöz való hosszú távú hozzáférés fenntartása.
Tartalomjegyzék
Az észlelés elkerülésére használt obfuszkációs technikák
Kirill Boychenko, a Socket biztonsági kutatója szerint ezek a legújabb minták hexadecimális karakterlánc-kódolást alkalmaznak elhomályosítási technikaként, ami megnehezíti az észlelésüket mind az automatizált rendszerekkel, mind a kézi kódauditokkal. A kártevő kijátszási stratégiájának ez a frissítése egyértelmű fejlődést mutat a fenyegetés szereplőinek módszereiben a biztonsági intézkedések megkerülésére.
Fejlesztői eszközöknek álcázott rosszindulatú csomagok
A rosszindulatú npm-csomagokat több mint 5600 alkalommal töltötték le, mielőtt eltávolították őket. A veszélyes csomagok némelyike az üres-array-validator, twitterapis, dev-debugger-vite, snore-log, core-pino, event-utils, icloud-cod, cln-logger, node-clog, consolidate-log és consolidate-logger csomagokat tartalmazott. Ezeknek a csomagoknak az volt a célja, hogy legitim segédprogramoknak vagy hibakeresőknek álcázzák magukat, de valójában rosszindulatú terhelést hordoztak.
Adatlopás hamis állásinterjúkon keresztül
Ez a közzététel egy hasonló esetet követett, amely egy hónappal korábban történt, amikor hat npm csomagot fedeztek fel, amelyek a BeaverTail-t, egy JavaScript-lopót terjesztik, amely egy Python-alapú, InvisibleFerret nevű hátsó ajtót is szállított. E támadások végső célja az, hogy állásinterjúk leple alatt beszivárogjanak a fejlesztői rendszerekbe. A rosszindulatú program érzékeny információkat lop el, pénzügyi eszközöket szippant, és lehetővé teszi a hackerek számára, hogy folyamatosan hozzáférjenek a feltört rendszerekhez.
Linkek a Lazarus csoporthoz és a Phantom Circuit Campaignhez
Az egyik figyelemre méltó csomag, a dev-debugger-vite, egy parancs- és vezérlési (C2) címet használt, amelyet korábban a SecurityScorecard a Lazarus csoporthoz társítottként jelölt meg egy Phantom Circuit nevű kampányban, amely 2024 decemberében jelent meg. Más csomagok, például az event-utils és az icloud-cod, a Biblitbuckettergosi, a Bitbuckettergosi oldalról a Biblitbuckettergosi webhelyre hivatkoztak. a korábbi kampányokban látott célokat. Ez az eltolódás, valamint az icloud-cod csomagban található "eiwork_hire" könyvtár azt jelzi, hogy a támadók továbbra is állásinterjúval kapcsolatos taktikákat alkalmaznak a fertőzés aktiválására.
Több változat a fertőzés sikerének maximalizálásához
Egyes csomagok, köztük a cln-logger, a node-clog, a consolidate-log és a consolidate-logger elemzése kis eltéréseket tárt fel a kódban. Ezek a változtatások arra utalnak, hogy a fenyegetés szereplői több rosszindulatú programváltozat telepítésével próbálják növelni kampányuk sikerességét. E különbségek ellenére a négy csomag beágyazott kódja RAT-betöltőként működik, amely képes további hasznos terhelések lekérésére és végrehajtására a távoli kiszolgálókról. Ebben a szakaszban a betöltendő rosszindulatú program pontos természete továbbra is tisztázatlan, mivel a C2-végpontok már nem szolgáltak ki hasznos adatokat, amikor a kutatók vizsgálták.
A RAT Loader lehetővé teszi a fertőzött rendszerek távvezérlését
Bojcsenko a rosszindulatú kódot RAT képességekkel rendelkező aktív betöltőként írta le, amely az eval() függvényt használja a távoli JavaScript lekérésére és futtatására. Ez a módszer lehetővé teszi a támadók számára, hogy tetszőlegesen tetszőleges további kártevőt telepítsenek, így a RAT betöltő önmagában is jelentős fenyegetést jelent.
A fertőző interjúkampány nem mutatja a lassulás jeleit
Ezek az eredmények hangsúlyozzák a Contagious Interview kampány kitartását. A támadók nem mutatták a lassulás jeleit, folytatják az új npm-fiókok létrehozását és a rosszindulatú kódok telepítését különböző platformokon, például az npm-en, a GitHub-on és a Bitbucket-en. Diverzifikálták a taktikájukat is, új rosszindulatú programokat tettek közzé különböző álnevekkel, többféle adattárat használtak, és olyan jól ismert malware-változatokat használtak, mint a BeaverTail és az InvisibleFerret az újabb RAT/loader változatok mellett.
A Tropidoor rosszindulatú program fejlesztők által célzott adathalász támadásokban jelenik meg
Eközben a dél-koreai AhnLab kiberbiztonsági vállalat a közelmúltban felfedte a kampány egy másik aspektusát. Egy toborzási témájú adathalász támadást azonosítottak, amely a BeaverTailt szállítja, amelyet aztán a Tropidoor nevű, korábban nem dokumentált Windows hátsó ajtó telepítésére használnak. Ez a Bitbucket-en tárolt npm könyvtáron keresztül szállított hátsó ajtó rosszindulatú műveletek széles skáláját képes végrehajtani. A Tropidoor kiszűrheti a fájlokat, információkat gyűjthet a meghajtókról és fájlokról, futtathat folyamatokat, képernyőképeket készíthet, és akár törölheti vagy felülírhatja a fájlokat NULL vagy kéretlen adatokkal.
Speciális képességek javasolt hivatkozás az ismert Lazarus kártevőkre
Az AhnLab elemzése megállapította, hogy a Tropidoor a memóriában működik egy letöltőn keresztül, és kapcsolatba lép egy C2 szerverrel, hogy utasításokat kapjon. A rosszindulatú program közvetlenül használ Windows parancsokat, például schtasks, ping és reg, amelyeket más Lazarus Group kártevőknél is megfigyeltek, például a LightlessCan-ben. Ez az összefüggés tovább köti a jelenlegi tevékenységet az észak-koreai csoporthoz, amely hírhedt kifinomult kiberkémkedési taktikáiról .
A fejlesztőket arra kérték, hogy maradjanak éberek az ellátási lánc támadásaival szemben
A legújabb leleplezések aláhúzzák a Lazarus Group és az APT más szereplői által jelentett folyamatos fenyegetést. A fejlesztőknek és a felhasználóknak egyaránt óvatosnak kell lenniük, amikor ismeretlen vagy gyanús forrásból származó csomagokat töltenek le vagy fájlokat nyitnak meg. Ahogy ezek a támadások folyamatosan fejlődnek, az adathalász kampányokkal szembeni éberség és a rosszindulatú kódok függőségének vizsgálata kulcsfontosságú az érzékeny információk rossz kezekbe kerülésétől való megvédésében.