Ziemeļkorejas hakeri izplata BeaverTail ļaunprātīgu programmatūru, izmantojot ļaunprātīgas npm pakotnes
Ir parādījies jauns Ziemeļkorejas hakeru uzbrukumu vilnis, kas vērsts pret programmatūras izstrādes kopienu, izmantojot ļaunprātīgas npm pakotnes. Šīs pakotnes, kas saistītas ar notiekošo Contagious Interview kampaņu, ir izstrādātas, lai piegādātu BeaverTail ļaunprātīgu programmatūru , kā arī jaunatklātu attālās piekļuves Trojas zirgu (RAT) ielādētāju. Šī kampaņa ir daļa no plašākiem Lazarus grupas centieniem iefiltrēties sistēmās, nozagt sensitīvus datus un uzturēt ilgtermiņa piekļuvi apdraudētām ierīcēm.
Satura rādītājs
Apmulsināšanas metodes, ko izmanto, lai izvairītos no atklāšanas
Saskaņā ar Socket drošības pētnieka Kirila Boičenko teikto, šajos jaunākajos paraugos kā apmulsināšanas paņēmiens tiek izmantots heksadecimālais virknes kodējums, padarot tos grūtāk atklāt gan automatizētajās sistēmās, gan manuālajā koda auditā. Šis ļaunprogrammatūras izvairīšanās stratēģijas atjauninājums parāda skaidru attīstību draudu dalībnieku metodēs, lai apietu drošības pasākumus.
Ļaunprātīgas pakotnes, kas tiek maskētas kā izstrādātāja rīki
Ļaunprātīgās npm pakotnes tika lejupielādētas vairāk nekā 5600 reižu, pirms tās tika noņemtas. Dažas no bīstamajām pakotnēm ietvēra tukšu-masīva-validatoru, twitterapis, dev-debugger-vite, snore-log, core-pino, event-utils, icloud-cod, cln-logger, node-clog, consolidate-log un consolidate-logger. Šīs pakotnes bija paredzētas, lai maskētu kā likumīgas utilītas vai atkļūdotājus, taču patiesībā tās pārnēsā ļaunprātīgu slodzes.
Datu zagšana, izmantojot viltus darba intervijas
Šī informācija tika atklāta pēc līdzīga incidenta, kas notika mēnesi iepriekš, kad tika atklātas sešas npm pakotnes, kas izplatīja BeaverTail — JavaScript zaglis, kas arī piegādāja Python balstītas aizmugures durvis ar nosaukumu InvisibleFerret. Šo uzbrukumu galvenais mērķis ir darba interviju procesu aizsegā iefiltrēties izstrādātāju sistēmās. Kad ļaunprātīga programmatūra nokļūst, tā nozog sensitīvu informāciju, izsūknē finanšu aktīvus un ļauj hakeriem uzturēt pastāvīgu piekļuvi uzlauztajām sistēmām.
Saites uz Lazarus grupu un Phantom Circuit kampaņu
Viena ievērojama pakotne, dev-debugger-vite, izmantoja komandu un vadības (C2) adresi, kuru SecurityScorecard iepriekš atzīmēja kā saistītu ar Lazarus grupu kampaņā ar nosaukumu Phantom Circuit, kas notika 2024. gada decembrī. Tika konstatēts, ka citas pakotnes, piemēram, Event-utils un icloud-cod, ir saistītas ar parasto, Giftbuckettergosi, izmantojot vietni Bitbuckettergosi. iepriekšējos kampaņās redzētie mērķi. Šī maiņa kopā ar direktoriju "eiwork_hire", kas atrodas icloud-cod pakotnē, norāda, ka uzbrucēji turpina izmantot ar darba interviju saistītu taktiku, lai aktivizētu infekciju.
Vairāki varianti, lai maksimāli palielinātu infekcijas panākumus
Dažu pakotņu, tostarp cln-logger, node-clog, consolidate-log un consolidate-logger, analīze atklāja nelielas koda atšķirības. Šīs izmaiņas liecina, ka apdraudējuma dalībnieki mēģina palielināt savas kampaņas panākumu līmeni, izvietojot vairākus ļaunprātīgas programmatūras variantus. Neskatoties uz šīm atšķirībām, šajās četrās pakotnēs iegultais kods darbojas kā RAT ielādētājs, kas spēj ienest un izpildīt papildu slodzes no attāliem serveriem. Šajā posmā joprojām nav skaidrs ielādētās ļaunprātīgās programmatūras precīzs raksturs, jo C2 galapunkti vairs neapkalpoja lietderīgās slodzes, kad pētnieki veica izmeklēšanu.
RAT Loader iespējo inficēto sistēmu tālvadību
Boičenko aprakstīja ļaunprātīgo kodu kā aktīvu ielādētāju ar RAT iespējām, izmantojot eval(), lai ielādētu un palaistu attālo JavaScript. Šī metode ļauj uzbrucējiem izvietot jebkādu viņu izvēlētu papildu ļaunprātīgu programmatūru, padarot RAT ielādētāju par nopietnu apdraudējumu.
Lipīgo interviju kampaņa neliecina par palēnināšanās pazīmēm
Šie atklājumi uzsver lipīgo interviju kampaņas noturību. Uzbrucēji nav parādījuši palēninājuma pazīmes, turpina veidot jaunus npm kontus un izvietot ļaunprātīgu kodu dažādās platformās, piemēram, npm, GitHub un Bitbucket. Viņi ir arī dažādojuši savu taktiku, publicējot jaunu ļaunprātīgu programmatūru ar dažādiem pseidonīmiem, izmantojot dažādus repozitorijus un izmantojot labi zināmus ļaunprātīgas programmatūras variantus, piemēram, BeaverTail un InvisibleFerret, kā arī jaunākus RAT/loader variantus.
Tropidoor ļaunprātīga programmatūra parādās izstrādātāju mērķtiecīgos pikšķerēšanas uzbrukumos
Tikmēr Dienvidkorejas kiberdrošības uzņēmums AhnLab nesen atklāja vēl vienu kampaņas aspektu. Viņi identificēja ar vervēšanu saistītu pikšķerēšanas uzbrukumu, kas nodrošina BeaverTail, kas pēc tam tiek izmantots, lai izvietotu iepriekš nedokumentētu Windows aizmugures durvis ar nosaukumu Tropidoor. Šīs aizmugures durvis, kas tiek piegādātas, izmantojot npm bibliotēku, kas mitināta vietnē Bitbucket, spēj veikt plašu ļaunprātīgu darbību klāstu. Tropidoor var izfiltrēt failus, apkopot informāciju par diskdziņiem un failiem, palaist procesus, tvert ekrānuzņēmumus un pat izdzēst vai pārrakstīt failus ar NULL vai nevēlamiem datiem.
Papildu iespējas Ieteikt saiti uz zināmo Lazarus ļaunprātīgo programmatūru
AhnLab analīze atklāja, ka Tropidoor darbojas atmiņā, izmantojot lejupielādētāju, un sazinās ar C2 serveri, lai saņemtu norādījumus. Ļaunprātīgā programmatūra tieši izmanto Windows komandas, piemēram, schtasks, ping un reg, kas ir novērotas arī citās Lazarus Group ļaunprātīgajās programmās, piemēram, LightlessCan. Šī saikne vēl vairāk saista pašreizējo darbību ar Ziemeļkorejas grupējumu, kas ir bēdīgi slavens ar izsmalcinātas kiberspiegošanas taktikas izmantošanu.
Izstrādātāji mudināja būt modriem pret piegādes ķēdes uzbrukumiem
Jaunākie atklājumi uzsver pastāvīgos draudus, ko rada Lazarus grupa un citi APT dalībnieki. Izstrādātājiem un lietotājiem ir jāievēro piesardzība, lejupielādējot pakotnes vai atverot failus no nezināmiem vai aizdomīgiem avotiem. Tā kā šie uzbrukumi turpina attīstīties, ļoti svarīgi ir saglabāt modrību pret pikšķerēšanas kampaņām un pārbaudīt atkarības no ļaunprātīga koda, lai aizsargātu sensitīvu informāciju no nepareizās rokās.