Gli hacker nordcoreani diffondono il malware BeaverTail tramite pacchetti npm dannosi
È emersa una nuova ondata di attacchi da parte di hacker nordcoreani, che prendono di mira la comunità di sviluppo software tramite pacchetti npm dannosi. Questi pacchetti, associati alla campagna Contagious Interview in corso, sono progettati per distribuire il malware BeaverTail , nonché un caricatore RAT (remote access trojan) scoperto di recente. Questa campagna fa parte di uno sforzo più ampio da parte del Lazarus Group per infiltrarsi nei sistemi, rubare dati sensibili e mantenere l'accesso a lungo termine ai dispositivi compromessi.
Sommario
Tecniche di offuscamento utilizzate per eludere il rilevamento
Secondo il ricercatore di sicurezza di Socket Kirill Boychenko, questi ultimi campioni utilizzano la codifica di stringhe esadecimali come tecnica di offuscamento, rendendoli più difficili da rilevare sia dai sistemi automatizzati che dagli audit manuali del codice. Questo aggiornamento nella strategia di evasione del malware mostra una chiara evoluzione nei metodi degli attori della minaccia per aggirare le misure di sicurezza.
Pacchetti dannosi mascherati da strumenti per sviluppatori
I pacchetti npm dannosi sono stati scaricati oltre 5.600 volte prima di essere rimossi. Alcuni dei pacchetti pericolosi includevano empty-array-validator, twitterapis, dev-debugger-vite, snore-log, core-pino, events-utils, icloud-cod, cln-logger, node-clog, consolidate-log e consolidate-logger. Questi pacchetti erano destinati a mascherarsi da utilità o debugger legittimi, ma in realtà trasportavano i payload dannosi.
Furto di dati tramite falsi colloqui di lavoro
Questa divulgazione segue un incidente simile che si è verificato un mese prima, quando sei pacchetti npm sono stati scoperti mentre diffondevano BeaverTail, uno stealer JavaScript che ha anche distribuito una backdoor basata su Python chiamata InvisibleFerret. L'obiettivo finale di questi attacchi è quello di infiltrarsi nei sistemi degli sviluppatori sotto le mentite spoglie di processi di colloquio di lavoro. Una volta dentro, il malware ruba informazioni sensibili, sottrae risorse finanziarie e consente agli hacker di mantenere un accesso persistente ai sistemi compromessi.
Link al Gruppo Lazarus e alla campagna Phantom Circuit
Un pacchetto degno di nota, dev-debugger-vite, ha utilizzato un indirizzo di comando e controllo (C2) precedentemente segnalato da SecurityScorecard come associato al Lazarus Group in una campagna denominata Phantom Circuit, avvenuta nel dicembre 2024. Altri pacchetti, come events-utils e icloud-cod, sono stati trovati collegati ai repository Bitbucket, divergendo dai soliti obiettivi GitHub visti nelle campagne precedenti. Questo spostamento, insieme alla directory "eiwork_hire" trovata all'interno del pacchetto icloud-cod, indica che gli aggressori continuano a utilizzare tattiche correlate ai colloqui di lavoro per attivare l'infezione.
Varianti multiple per massimizzare il successo dell'infezione
Un'analisi di alcuni pacchetti, tra cui cln-logger, node-clog, consolidate-log e consolidate-logger, ha rivelato piccole variazioni nel codice. Queste modifiche suggeriscono che gli autori della minaccia stanno tentando di aumentare il tasso di successo della loro campagna distribuendo più varianti di malware. Nonostante queste differenze, il codice incorporato in questi quattro pacchetti funziona come un caricatore RAT in grado di recuperare ed eseguire payload aggiuntivi da server remoti. In questa fase, la natura esatta del malware caricato rimane poco chiara, poiché gli endpoint C2 non servivano più payload quando i ricercatori hanno indagato.
RAT Loader consente il controllo remoto dei sistemi infetti
Boychenko ha descritto il codice dannoso come un loader attivo con capacità RAT, che usa eval() per recuperare ed eseguire JavaScript remoto. Questo metodo consente agli aggressori di distribuire qualsiasi malware di follow-up di loro scelta, rendendo il loader RAT una minaccia significativa di per sé.
La campagna di interviste Contagious non mostra segni di rallentamento
Questi risultati sottolineano la persistenza della campagna Contagious Interview. Gli aggressori non hanno mostrato segni di rallentamento, continuando a creare nuovi account npm e a distribuire codice dannoso su varie piattaforme come npm, GitHub e Bitbucket. Hanno anche diversificato le loro tattiche, pubblicando nuovo malware sotto diversi alias, utilizzando un mix di repository e sfruttando varianti di malware note come BeaverTail e InvisibleFerret insieme a varianti RAT/loader più recenti.
Il malware Tropidoor emerge negli attacchi di phishing mirati agli sviluppatori
Nel frattempo, la società di sicurezza informatica sudcoreana AhnLab ha recentemente scoperto un altro aspetto della campagna. Hanno identificato un attacco di phishing a tema reclutamento che distribuisce BeaverTail, che viene poi utilizzato per distribuire una backdoor di Windows precedentemente non documentata chiamata Tropidoor. Questa backdoor, distribuita tramite una libreria npm ospitata su Bitbucket, è in grado di eseguire un'ampia gamma di azioni dannose. Tropidoor può esfiltrare file, raccogliere informazioni su unità e file, eseguire processi, acquisire schermate e persino eliminare o sovrascrivere file con dati NULL o spazzatura.
Le funzionalità avanzate suggeriscono un collegamento al malware Lazarus noto
L'analisi di AhnLab ha scoperto che Tropidoor opera in memoria tramite un downloader e contatta un server C2 per ricevere istruzioni. Il malware utilizza direttamente comandi Windows come schtasks, ping e reg, che sono stati osservati anche in altri malware del Lazarus Group, come LightlessCan. Questa connessione collega ulteriormente l'attività attuale al gruppo nordcoreano, che è tristemente famoso per il suo utilizzo di sofisticate tattiche di cyber spionaggio .
Gli sviluppatori sono invitati a rimanere vigili contro gli attacchi alla supply chain
Le ultime rivelazioni sottolineano la minaccia in corso posta dal Lazarus Group e da altri attori APT. Sviluppatori e utenti devono prestare attenzione quando scaricano pacchetti o aprono file da fonti sconosciute o sospette. Mentre questi attacchi continuano a evolversi, restare vigili contro le campagne di phishing e ispezionare le dipendenze per codice dannoso è fondamentale per proteggere le informazioni sensibili dal cadere nelle mani sbagliate.