Penggodam Korea Utara Menyebarkan Perisian Hasad BeaverTail Melalui Pakej npm Berniat jahat
Gelombang serangan baharu daripada penggodam Korea Utara telah muncul, menyasarkan komuniti pembangunan perisian melalui pakej npm yang berniat jahat. Pakej ini, yang dikaitkan dengan kempen Temuduga Berjangkit yang sedang berjalan, direka bentuk untuk menyampaikan perisian hasad BeaverTail , serta pemuat trojan akses jauh (RAT) yang baru ditemui. Kempen ini adalah sebahagian daripada usaha yang lebih luas oleh Kumpulan Lazarus untuk menyusup ke sistem, mencuri data sensitif dan mengekalkan akses jangka panjang kepada peranti yang terjejas.
Isi kandungan
Teknik Obfuscation Digunakan untuk Mengelak Pengesanan
Menurut penyelidik keselamatan Socket Kirill Boychenko, sampel terbaharu ini menggunakan pengekodan rentetan perenambelasan sebagai teknik pengeliruan, menjadikannya lebih sukar untuk dikesan oleh kedua-dua sistem automatik dan audit kod manual. Kemas kini dalam strategi pengelakan perisian hasad ini menunjukkan evolusi yang jelas dalam kaedah pelaku ancaman untuk memintas langkah keselamatan.
Pakej Hasad Menyamar sebagai Alat Pembangun
Pakej npm berniat jahat telah dimuat turun lebih 5,600 kali sebelum ia dialih keluar. Beberapa pakej berbahaya termasuk kosong-array-validator, twitterapis, dev-debugger-vite, snore-log, core-pino, events-utils, icloud-cod, cln-logger, node-clog, consolidate-log dan consolidate-logger. Pakej ini bertujuan untuk menyamar sebagai utiliti atau penyahpepijat yang sah tetapi sebenarnya membawa muatan berniat jahat.
Mencuri Data Melalui Temuduga Kerja Palsu
Pendedahan ini mengikuti insiden serupa yang berlaku sebulan lebih awal apabila enam pakej npm ditemui menyebarkan BeaverTail, pencuri JavaScript yang turut menghantar pintu belakang berasaskan Python yang dipanggil InvisibleFerret. Matlamat utama serangan ini adalah untuk menyusup ke sistem pembangun di bawah nama proses temu duga kerja. Sekali masuk, perisian hasad mencuri maklumat sensitif, menyedut aset kewangan dan membenarkan penggodam mengekalkan akses berterusan kepada sistem yang terjejas.
Pautan ke Kumpulan Lazarus dan Kempen Litar Hantu
Satu pakej yang ketara, dev-debugger-vite, menggunakan alamat arahan dan kawalan (C2) yang sebelum ini dibenderakan oleh SecurityScorecard sebagai dikaitkan dengan Kumpulan Lazarus dalam kempen bernama Phantom Circuit, yang berlaku pada bulan Disember 2024. Pakej lain, seperti event-utils dan icloud-cod, didapati dipautkan kepada Bitbucket dipositori lebih awal daripada repositori biasa yang dilihat semula daripada Bitbucket. kempen. Anjakan ini, bersama-sama dengan direktori "eiwork_hire" yang terdapat dalam pakej icloud-cod, menunjukkan bahawa penyerang terus menggunakan taktik berkaitan temu duga kerja untuk mengaktifkan jangkitan.
Pelbagai Varian untuk Memaksimumkan Kejayaan Jangkitan
Analisis beberapa pakej, termasuk cln-logger, nod-clog, consolidate-log dan consolidate-logger, mendedahkan variasi kecil dalam kod. Perubahan ini mencadangkan bahawa pelaku ancaman cuba meningkatkan kadar kejayaan kempen mereka dengan menggunakan berbilang varian perisian hasad. Walaupun terdapat perbezaan ini, kod terbenam merentasi empat pakej ini berfungsi sebagai pemuat RAT yang mampu mengambil dan melaksanakan muatan tambahan daripada pelayan jauh. Pada peringkat ini, sifat sebenar perisian hasad yang dimuatkan masih tidak jelas, kerana titik akhir C2 tidak lagi menyampaikan muatan apabila penyelidik menyiasat.
RAT Loader Membolehkan Kawalan Jauh Sistem Dijangkiti
Boychenko menyifatkan kod hasad itu sebagai pemuat aktif dengan keupayaan RAT, menggunakan eval() untuk mengambil dan menjalankan JavaScript jauh. Kaedah ini membenarkan penyerang untuk menggunakan sebarang perisian hasad susulan pilihan mereka, menjadikan pemuat RAT sebagai ancaman yang ketara.
Kempen Temuduga Tular Tidak Menunjukkan Tanda Perlahan
Penemuan ini menekankan kegigihan kempen Temubual Berjangkit. Penyerang tidak menunjukkan tanda-tanda perlahan, terus mencipta akaun npm baharu dan menggunakan kod hasad merentas pelbagai platform seperti npm, GitHub dan Bitbucket. Mereka juga telah mempelbagaikan taktik mereka, menerbitkan perisian hasad baharu di bawah alias berbeza, menggunakan gabungan repositori dan memanfaatkan varian perisian hasad yang terkenal seperti BeaverTail dan InvisibleFerret bersama-sama varian RAT/pemuat yang lebih baharu.
Malware Tropidoor Muncul dalam Serangan Phishing Sasaran Pembangun
Sementara itu, syarikat keselamatan siber Korea Selatan AhnLab baru-baru ini mendedahkan satu lagi aspek kempen. Mereka mengenal pasti serangan pancingan data bertemakan perekrutan yang menyampaikan BeaverTail, yang kemudiannya digunakan untuk menggunakan pintu belakang Windows yang tidak didokumenkan sebelum ini yang dipanggil Tropidoor. Pintu belakang ini, yang dihantar melalui perpustakaan npm yang dihoskan pada Bitbucket, mampu melakukan pelbagai tindakan berniat jahat. Tropidoor boleh mengeksfiltrasi fail, mengumpulkan maklumat tentang pemacu dan fail, menjalankan proses, menangkap tangkapan skrin, dan juga memadam atau menulis ganti fail dengan NULL atau data sampah.
Keupayaan Lanjutan Cadangkan Pautan ke Perisian Hasad Lazarus yang Dikenali
Analisis AhnLab mendapati bahawa Tropidoor beroperasi dalam ingatan melalui pemuat turun dan menghubungi pelayan C2 untuk menerima arahan. Perisian hasad secara langsung menggunakan arahan Windows seperti schtasks, ping dan reg, yang juga telah diperhatikan dalam perisian hasad Kumpulan Lazarus yang lain, seperti LightlessCan. Sambungan ini menghubungkan lagi aktiviti semasa dengan kumpulan Korea Utara, yang terkenal dengan penggunaan taktik pengintipan siber yang canggih .
Pemaju Digesa Tetap Berwaspada terhadap Serangan Rantaian Bekalan
Pendedahan terbaru menggariskan ancaman berterusan yang ditimbulkan oleh Kumpulan Lazarus dan pelakon APT yang lain. Pembangun dan pengguna sama-sama perlu berhati-hati apabila memuat turun pakej atau membuka fail daripada sumber yang tidak diketahui atau mencurigakan. Memandangkan serangan ini terus berkembang, sentiasa berwaspada terhadap kempen pancingan data dan memeriksa kebergantungan untuk kod hasad adalah penting dalam melindungi maklumat sensitif daripada jatuh ke tangan yang salah.