Šiaurės Korėjos įsilaužėliai platina „BeaverTail“ kenkėjišką programą per kenkėjiškus npm paketus
Iškilo nauja Šiaurės Korėjos įsilaužėlių atakų banga, nukreipta į programinės įrangos kūrimo bendruomenę per kenkėjiškus npm paketus. Šie paketai, susiję su vykstančia užkrečiamųjų interviu kampanija, yra skirti pristatyti kenkėjišką programą BeaverTail , taip pat naujai atrastą nuotolinės prieigos Trojos arklys (RAT) įkroviklį. Ši kampanija yra dalis platesnių „Lazarus Group“ pastangų įsiskverbti į sistemas, pavogti neskelbtinus duomenis ir išlaikyti ilgalaikę prieigą prie pažeistų įrenginių.
Turinys
Užmaskavimo metodai, naudojami siekiant išvengti aptikimo
Anot „Socket“ saugos tyrinėtojo Kirilo Boyčenko, šiuose naujausiuose pavyzdžiuose naudojama šešioliktainė eilučių koduotė kaip užmaskavimo technika, todėl juos sunkiau aptikti tiek naudojant automatines sistemas, tiek atliekant rankinį kodo auditą. Šis kenkėjiškų programų vengimo strategijos atnaujinimas rodo aiškią grėsmės veikėjų metodų, kaip apeiti saugos priemones, raidą.
Kenkėjiški paketai, apsimesti kūrėjo įrankiais
Kenkėjiški npm paketai buvo atsisiųsti daugiau nei 5600 kartų, kol jie buvo pašalinti. Kai kurie pavojingi paketai apėmė tuščią masyvą-validator, twitterapis, dev-debugger-vite, snore-log, core-pino, event-utils, icloud-cod, cln-logger, node-clog, consolidate-log ir consolidate-logger. Šie paketai buvo sukurti kaip teisėtos komunalinės paslaugos arba derintojai, tačiau iš tikrųjų juose buvo kenksmingi kroviniai.
Duomenų vagystė per netikrus darbo pokalbius
Šis atskleidimas įvyko po panašaus incidento, įvykusio prieš mėnesį, kai buvo aptikti šeši npm paketai, platinantys „BeaverTail“, „JavaScript“ vagį, kuri taip pat pristatė „Python“ pagrindu veikiančias užpakalines duris, pavadintas „InvisibleFerret“. Galutinis šių atakų tikslas yra įsiskverbti į kūrėjų sistemas, prisidengiant darbo pokalbių procesais. Patekusi į kenkėjišką programą, ji pavagia neskelbtiną informaciją, siurbia finansinį turtą ir leidžia įsilaužėliams išlaikyti nuolatinę prieigą prie pažeistų sistemų.
Nuorodos į „Lazarus Group“ ir „Phantom Circuit Campaign“.
Viename žymiame pakete, dev-debugger-vite, buvo naudojamas komandų ir valdymo (C2) adresas, kurį SecurityScorecard anksčiau pažymėjo kaip susietą su Lazarus grupe kampanijoje pavadinimu Phantom Circuit, kuri įvyko 2024 m. gruodžio mėn. Nustatyta, kad kiti paketai, pvz., Events-utils ir icloud-cod, buvo susieti su įprastu, Giftbuckettergosi, Bitbuckettergosi. ankstesnėse kampanijose matytus tikslus. Šis poslinkis kartu su „eiwork_hire“ katalogu, esančiu pakete „icloud-cod“, rodo, kad užpuolikai ir toliau naudoja su darbo pokalbiais susijusias taktikas, kad suaktyvintų infekciją.
Keli variantai, siekiant maksimaliai padidinti infekcijos sėkmę
Kai kurių paketų, įskaitant cln-logger, node-clog, consolidate-log ir consolidate-logger, analizė atskleidė nedidelius kodo skirtumus. Šie pakeitimai rodo, kad grėsmės veikėjai bando padidinti savo kampanijos sėkmės rodiklį diegdami kelis kenkėjiškų programų variantus. Nepaisant šių skirtumų, šių keturių paketų įdėtasis kodas veikia kaip RAT įkroviklis, galintis gauti ir vykdyti papildomus naudingus krovinius iš nuotolinių serverių. Šiame etape tikslus įkeliamos kenkėjiškos programos pobūdis lieka neaiškus, nes C2 galiniai taškai nebeaptarnavo naudingųjų apkrovų, kai tyrėjai tyrė.
RAT Loader leidžia nuotoliniu būdu valdyti užkrėstas sistemas
Boychenko apibūdino kenkėjišką kodą kaip aktyvų įkroviklį su RAT galimybėmis, naudojant eval(), kad gautų ir paleistų nuotolinį „JavaScript“. Šis metodas leidžia užpuolikams įdiegti bet kokią jų pasirinktą tolesnę kenkėjišką programą, todėl RAT įkroviklis pats savaime kelia didelę grėsmę.
Užkrečiama interviu kampanija nerodo lėtėjimo požymių
Šios išvados pabrėžia „Contagious Interview“ kampanijos atkaklumą. Užpuolikai nerodė jokių lėtėjimo ženklų, toliau kūrė naujas npm paskyras ir diegia kenkėjišką kodą įvairiose platformose, tokiose kaip npm, GitHub ir Bitbucket. Jie taip pat paįvairino savo taktiką, skelbdami naujas kenkėjiškas programas skirtingais slapyvardžiais, naudodami saugyklų derinį ir kartu su naujesniais RAT / kroviklio variantais naudodami gerai žinomus kenkėjiškų programų variantus, tokius kaip BeaverTail ir InvisibleFerret.
„Tropidoor“ kenkėjiška programa atsiranda per kūrėjų nukreiptus sukčiavimo išpuolius
Tuo tarpu Pietų Korėjos kibernetinio saugumo įmonė „AhnLab“ neseniai atskleidė kitą kampanijos aspektą. Jie nustatė su verbavimu susijusią sukčiavimo ataką, kuri pristato „BeaverTail“, kuri vėliau naudojama diegti anksčiau nedokumentuotas „Windows“ užpakalines duris, vadinamas Tropidoor. Šios užpakalinės durys, pateiktos per npm biblioteką, esančią Bitbucket, gali atlikti daugybę kenkėjiškų veiksmų. „Tropidoor“ gali išfiltruoti failus, rinkti informaciją apie diskus ir failus, vykdyti procesus, užfiksuoti ekrano kopijas ir net ištrinti arba perrašyti failus su NULL arba nepageidaujamais duomenimis.
Išplėstinės galimybės siūlo nuorodą į žinomą „Lazarus“ kenkėjišką programą
„AhnLab“ analizė parodė, kad „Tropidoor“ veikia atmintyje per atsisiuntimo programą ir susisiekia su C2 serveriu, kad gautų instrukcijas. Kenkėjiška programa tiesiogiai naudoja „Windows“ komandas, tokias kaip „schtasks“, „ping“ ir „reg“, kurios taip pat buvo pastebėtos kitose „Lazarus Group“ kenkėjiškose programose, pvz., „LightlessCan“. Šis ryšys dabartinę veiklą dar labiau sieja su Šiaurės Korėjos grupe, kuri yra liūdnai pagarsėjusi dėl sudėtingos kibernetinio šnipinėjimo taktikos .
Kūrėjai raginami išlikti budriems prieš tiekimo grandinės išpuolius
Naujausi apreiškimai pabrėžia nuolatinę grėsmę, kurią kelia Lazarus grupė ir kiti APT veikėjai. Kūrėjai ir vartotojai turi būti atsargūs atsisiųsdami paketus arba atidarydami failus iš nežinomų ar įtartinų šaltinių. Šios atakos ir toliau vystosi, norint apsaugoti neskelbtiną informaciją, kad ji nepatektų į netinkamas rankas, labai svarbu išlikti budriems dėl sukčiavimo kampanijų ir tikrinti, ar nėra kenksmingo kodo.