Nordkoreanske hackere sprer BeaverTail-malware gjennom ondsinnede npm-pakker
En ny bølge av angrep fra nordkoreanske hackere har dukket opp, rettet mot programvareutviklingsfellesskapet gjennom ondsinnede npm-pakker. Disse pakkene, assosiert med den pågående Contagious Interview-kampanjen, er designet for å levere BeaverTail malware , samt en nylig oppdaget remote access trojan (RAT) loader. Denne kampanjen er en del av en bredere innsats fra Lazarus Group for å infiltrere systemer, stjele sensitive data og opprettholde langsiktig tilgang til kompromitterte enheter.
Innholdsfortegnelse
Tilsløringsteknikker som brukes for å unngå deteksjon
I følge Socket-sikkerhetsforsker Kirill Boychenko bruker disse siste prøvene heksadesimal strengkoding som en obfuskasjonsteknikk, noe som gjør dem vanskeligere å oppdage av både automatiserte systemer og manuelle koderevisjoner. Denne oppdateringen i malwares unnvikelsesstrategi viser en klar utvikling i trusselaktørenes metoder for å omgå sikkerhetstiltak.
Ondsinnede pakker maskerer seg som utviklerverktøy
De ondsinnede npm-pakkene ble lastet ned over 5600 ganger før de ble fjernet. Noen av de farlige pakkene inkluderte empty-array-validator, twitterapis, dev-debugger-vite, snore-log, core-pino, event-utils, icloud-cod, cln-logger, node-clog, consolide-log og consolide-logger. Disse pakkene var ment å utgi seg som legitime verktøy eller debuggere, men de bar faktisk de ondsinnede nyttelastene.
Å stjele data gjennom falske jobbintervjuer
Denne avsløringen følger en lignende hendelse som skjedde en måned tidligere da seks npm-pakker ble oppdaget som spredte BeaverTail, en JavaScript-tyver som også leverte en Python-basert bakdør kalt InvisibleFerret. Det endelige målet med disse angrepene er å infiltrere utviklersystemer under dekke av jobbintervjuprosesser. Når den først er inn, stjeler skadevaren sensitiv informasjon, henter inn økonomiske eiendeler og lar hackere opprettholde vedvarende tilgang til de kompromitterte systemene.
Lenker til Lazarus Group og Phantom Circuit Campaign
En bemerkelsesverdig pakke, dev-debugger-vite, brukte en kommando-og-kontroll-adresse (C2) som tidligere ble flagget av SecurityScorecard som assosiert med Lazarus Group i en kampanje kalt Phantom Circuit, som fant sted i desember 2024. Andre pakker, som event-utils og icloud-cod, ble funnet å være koblet til usb-repositoriene, GientH-repositories. tidligere kampanjer. Dette skiftet, sammen med «eiwork_hire»-katalogen som finnes i icloud-cod-pakken, indikerer at angriperne fortsetter å bruke jobbintervjurelaterte taktikker for å aktivere infeksjonen.
Flere varianter for å maksimere infeksjonssuksess
En analyse av noen av pakkene, inkludert cln-logger, node-clog, consolide-log og consolide-logger, avslørte små variasjoner i koden. Disse endringene antyder at trusselaktørene prøver å øke suksessraten for kampanjen deres ved å distribuere flere malware-varianter. Til tross for disse forskjellene, fungerer den innebygde koden på tvers av disse fire pakkene som en RAT-laster som er i stand til å hente og utføre ytterligere nyttelast fra eksterne servere. På dette stadiet er den nøyaktige arten av skadevaren som lastes fortsatt uklar, siden C2-endepunktene ikke lenger tjente nyttelast da forskere undersøkte.
RAT Loader muliggjør fjernkontroll av infiserte systemer
Boychenko beskrev den ondsinnede koden som en aktiv laster med RAT-funksjoner, ved å bruke eval() for å hente og kjøre ekstern JavaScript. Denne metoden lar angriperne distribuere eventuell oppfølging av skadelig programvare etter eget valg, noe som gjør RAT-lasteren til en betydelig trussel i seg selv.
Smittsom intervjukampanje viser ingen tegn til nedgang
Disse funnene understreker utholdenheten til kampanjen Contagious Interview. Angriperne har ikke vist noen tegn til å bremse, fortsetter å opprette nye npm-kontoer og distribuere ondsinnet kode på tvers av ulike plattformer som npm, GitHub og Bitbucket. De har også diversifisert taktikken sin, publisert ny skadelig programvare under forskjellige aliaser, ved hjelp av en blanding av depoter, og utnyttet velkjente malware-varianter som BeaverTail og InvisibleFerret sammen med nyere RAT/loader-varianter.
Tropidoor skadelig programvare dukker opp i utviklermålrettede phishing-angrep
I mellomtiden har det sørkoreanske cybersikkerhetsselskapet AhnLab nylig avdekket et annet aspekt av kampanjen. De identifiserte et phishing-angrep med rekrutteringstema som leverer BeaverTail, som deretter brukes til å distribuere en tidligere udokumentert Windows-bakdør kalt Tropidoor. Denne bakdøren, levert via et npm-bibliotek som er vert på Bitbucket, er i stand til å utføre et bredt spekter av ondsinnede handlinger. Tropidoor kan eksfiltrere filer, samle informasjon om stasjoner og filer, kjøre prosesser, ta skjermbilder og til og med slette eller overskrive filer med NULL- eller søppeldata.
Avanserte funksjoner foreslår kobling til kjent Lazarus-malware
AhnLabs analyse fant at Tropidoor opererer i minnet gjennom en nedlaster og kontakter en C2-server for å motta instruksjoner. Skadevaren bruker direkte Windows-kommandoer som schtasks, ping og reg, som også har blitt observert i annen skadelig programvare fra Lazarus Group, for eksempel LightlessCan. Denne forbindelsen knytter videre den nåværende aktiviteten til den nordkoreanske gruppen, som er beryktet for sin bruk av sofistikerte nettspionasjetaktikker .
Utviklere oppfordres til å være på vakt mot forsyningskjedeangrep
De siste avsløringene understreker den pågående trusselen fra Lazarus Group og andre APT-aktører. Både utviklere og brukere må utvise forsiktighet når de laster ned pakker eller åpner filer fra ukjente eller mistenkelige kilder. Ettersom disse angrepene fortsetter å utvikle seg, er det avgjørende å være på vakt mot phishing-kampanjer og inspisere avhengigheter for skadelig kode for å beskytte sensitiv informasjon fra å falle i feil hender.