उत्तर कोरियाली ह्याकरहरूले दुर्भावनापूर्ण npm प्याकेजहरू मार्फत BeaverTail मालवेयर फैलाए
उत्तर कोरियाली ह्याकरहरूबाट आक्रमणको नयाँ लहर देखा परेको छ, जसले दुर्भावनापूर्ण npm प्याकेजहरू मार्फत सफ्टवेयर विकास समुदायलाई लक्षित गरेको छ। चलिरहेको कन्टेगियस इन्टरभ्यू अभियानसँग सम्बन्धित यी प्याकेजहरू BeaverTail मालवेयर, साथै नयाँ पत्ता लागेको रिमोट एक्सेस ट्रोजन (RAT) लोडर डेलिभर गर्न डिजाइन गरिएको हो। यो अभियान प्रणालीहरूमा घुसपैठ गर्ने, संवेदनशील डेटा चोर्ने र सम्झौता गरिएका उपकरणहरूमा दीर्घकालीन पहुँच कायम राख्ने लाजरस समूहको व्यापक प्रयासको अंश हो।
सामग्रीको तालिका
पत्ता लगाउनबाट बच्न प्रयोग गरिने अस्पष्टता प्रविधिहरू
सकेट सुरक्षा अनुसन्धानकर्ता किरिल बोयचेन्कोका अनुसार, यी नवीनतम नमूनाहरूले हेक्साडेसिमल स्ट्रिङ एन्कोडिङलाई अस्पष्ट प्रविधिको रूपमा प्रयोग गर्छन्, जसले गर्दा स्वचालित प्रणाली र म्यानुअल कोड अडिट दुवैद्वारा पत्ता लगाउन गाह्रो हुन्छ। मालवेयरको चोरी रणनीतिमा यो अद्यावधिकले सुरक्षा उपायहरू बाइपास गर्ने खतरा अभिनेताहरूको तरिकाहरूमा स्पष्ट विकास देखाउँछ।
विकासकर्ता उपकरणको रूपमा लुकेका दुर्भावनापूर्ण प्याकेजहरू
दुर्भावनापूर्ण npm प्याकेजहरू हटाउनु अघि ५,६०० भन्दा बढी पटक डाउनलोड गरिएको थियो। केही खतरनाक प्याकेजहरूमा empty-array-validator, twitterapis, dev-debugger-vite, snore-log, core-pino, events-utils, icloud-cod, cln-logger, node-clog, consolidate-log, र consolidate-logger समावेश थिए। यी प्याकेजहरू वैध उपयोगिताहरू वा डिबगरहरूको रूपमा लुकाउनको लागि थिए तर वास्तवमा दुर्भावनापूर्ण पेलोडहरू बोकेका थिए।
नक्कली जागिर अन्तर्वार्ता मार्फत डाटा चोरी
यो खुलासा एक महिना अघि भएको यस्तै घटना पछि भएको थियो जब छ npm प्याकेजहरू BeaverTail फैलाउँदै पत्ता लागेका थिए, जुन जाभास्क्रिप्ट चोरी गर्ने व्यक्ति थियो जसले InvisibleFerret भनिने पाइथन-आधारित ब्याकडोर पनि डेलिभर गर्थ्यो। यी आक्रमणहरूको अन्तिम लक्ष्य जागिर अन्तर्वार्ता प्रक्रियाहरूको आडमा विकासकर्ता प्रणालीहरूमा घुसपैठ गर्नु हो। एक पटक प्रवेश गरेपछि, मालवेयरले संवेदनशील जानकारी चोर्छ, वित्तीय सम्पत्तिहरू चोर्छ, र ह्याकरहरूलाई सम्झौता गरिएका प्रणालीहरूमा निरन्तर पहुँच कायम राख्न अनुमति दिन्छ।
लाजरस समूह र फ्यान्टम सर्किट अभियानको लिङ्कहरू
एउटा उल्लेखनीय प्याकेज, dev-debugger-vite, ले कमाण्ड-एन्ड-कन्ट्रोल (C2) ठेगाना प्रयोग गर्यो जुन पहिले SecurityScorecard द्वारा डिसेम्बर २०२४ मा भएको Phantom Circuit नामक अभियानमा Lazarus Group सँग सम्बन्धित भएको रूपमा फ्ल्याग गरिएको थियो। अन्य प्याकेजहरू, जस्तै events-utils र icloud-cod, पहिलेका अभियानहरूमा देखिएका सामान्य GitHub लक्ष्यहरूबाट अलग हुँदै, Bitbucket भण्डारहरूसँग लिङ्क गरिएको पाइयो। icloud-cod प्याकेज भित्र पाइने "eiwork_hire" निर्देशिकासँगै यो परिवर्तनले आक्रमणकारीहरूले संक्रमण सक्रिय गर्न जागिर अन्तर्वार्ता-सम्बन्धित रणनीतिहरू प्रयोग गर्न जारी राखेको संकेत गर्दछ।
संक्रमण सफलतालाई अधिकतम बनाउन धेरै भेरियन्टहरू
cln-logger, node-clog, consolidate-log, र consolidate-logger लगायतका केही प्याकेजहरूको विश्लेषणले कोडमा थोरै भिन्नताहरू देखायो। यी परिवर्तनहरूले सुझाव दिन्छ कि खतरा अभिनेताहरूले धेरै मालवेयर भेरियन्टहरू तैनाथ गरेर आफ्नो अभियानको सफलता दर बढाउने प्रयास गरिरहेका छन्। यी भिन्नताहरूको बावजुद, यी चार प्याकेजहरूमा एम्बेडेड कोडले रिमोट सर्भरहरूबाट थप पेलोडहरू ल्याउन र कार्यान्वयन गर्न सक्षम RAT लोडरको रूपमा कार्य गर्दछ। यस चरणमा, लोड भइरहेको मालवेयरको सही प्रकृति अस्पष्ट रहन्छ, किनकि अनुसन्धानकर्ताहरूले अनुसन्धान गर्दा C2 अन्त्य बिन्दुहरूले अब पेलोडहरू सेवा गरिरहेका थिएनन्।
RAT लोडरले संक्रमित प्रणालीहरूको रिमोट कन्ट्रोल सक्षम पार्छ
बोयचेन्कोले दुर्भावनापूर्ण कोडलाई RAT क्षमताहरू भएको सक्रिय लोडरको रूपमा वर्णन गरे, जसले eval() प्रयोग गरेर रिमोट जाभास्क्रिप्ट ल्याउन र चलाउन प्रयोग गर्यो। यो विधिले आक्रमणकारीहरूलाई उनीहरूको रोजाइको कुनै पनि फलो-अप मालवेयर तैनाथ गर्न अनुमति दिन्छ, जसले RAT लोडरलाई आफैंमा एक महत्त्वपूर्ण खतरा बनाउँछ।
संक्रामक अन्तर्वार्ता अभियानले सुस्त हुने कुनै संकेत देखाउँदैन
यी निष्कर्षहरूले संक्रामक अन्तर्वार्ता अभियानको निरन्तरतालाई जोड दिन्छन्। आक्रमणकारीहरूले ढिलो हुने कुनै संकेत देखाएका छैनन्, नयाँ npm खाताहरू सिर्जना गर्न र npm, GitHub, र Bitbucket जस्ता विभिन्न प्लेटफर्महरूमा मालिसियस कोड तैनाथ गर्न जारी राखेका छन्। तिनीहरूले आफ्नो रणनीतिहरू पनि विविध बनाएका छन्, विभिन्न उपनामहरू अन्तर्गत नयाँ मालवेयर प्रकाशित गर्दै, भण्डारहरूको मिश्रण प्रयोग गरेर, र नयाँ RAT/लोडर भेरियन्टहरूसँगै BeaverTail र InvisibleFerret जस्ता प्रख्यात मालवेयर भेरियन्टहरूको लाभ उठाउँदै।
विकासकर्ता-लक्षित फिसिङ आक्रमणहरूमा ट्रपिडोर मालवेयर देखा पर्दछ
यसैबीच, दक्षिण कोरियाली साइबर सुरक्षा कम्पनी AhnLab ले हालै अभियानको अर्को पक्षको पर्दाफास गरेको छ। उनीहरूले BeaverTail डेलिभर गर्ने भर्ती-थीम फिसिङ आक्रमण पहिचान गरे, जुन त्यसपछि Tropidoor भनिने पहिले कागजात नगरिएको विन्डोज ब्याकडोर तैनाथ गर्न प्रयोग गरिन्छ। Bitbucket मा होस्ट गरिएको npm लाइब्रेरी मार्फत डेलिभर गरिएको यो ब्याकडोरले विभिन्न प्रकारका दुर्भावनापूर्ण कार्यहरू गर्न सक्षम छ। Tropidoor ले फाइलहरू एक्सफिल्टरेट गर्न, ड्राइभ र फाइलहरूको बारेमा जानकारी सङ्कलन गर्न, प्रक्रियाहरू चलाउन, स्क्रिनसटहरू खिच्न, र NULL वा जंक डेटा भएका फाइलहरू मेटाउन वा ओभरराइट गर्न पनि सक्छ।
उन्नत क्षमताहरूले ज्ञात लाजरस मालवेयरको लिङ्क सुझाव दिन्छ
AhnLab को विश्लेषणले पत्ता लगायो कि Tropidoor ले डाउनलोडर मार्फत मेमोरीमा काम गर्छ र निर्देशनहरू प्राप्त गर्न C2 सर्भरलाई सम्पर्क गर्छ। मालवेयरले सिधै Windows आदेशहरू जस्तै schtasks, ping, र reg प्रयोग गर्दछ, जुन LightlessCan जस्ता अन्य Lazarus Group मालवेयरमा पनि अवलोकन गरिएको छ। यो जडानले हालको गतिविधिलाई उत्तर कोरियाली समूहसँग जोड्दछ, जुन परिष्कृत साइबर जासूसी रणनीतिहरूको प्रयोगको लागि कुख्यात छ।
आपूर्ति शृङ्खला आक्रमणहरू विरुद्ध सतर्क रहन विकासकर्ताहरूलाई आग्रह गरियो
पछिल्ला खुलासाहरूले लाजरस समूह र अन्य APT अभिनेताहरूद्वारा उत्पन्न भइरहेको खतरालाई जोड दिन्छन्। विकासकर्ताहरू र प्रयोगकर्ताहरूले प्याकेजहरू डाउनलोड गर्दा वा अज्ञात वा शंकास्पद स्रोतहरूबाट फाइलहरू खोल्दा सावधानी अपनाउनु आवश्यक छ। यी आक्रमणहरू विकसित हुँदै जाँदा, फिसिङ अभियानहरू विरुद्ध सतर्क रहनु र दुर्भावनापूर्ण कोडको लागि निर्भरताहरूको निरीक्षण गर्नु संवेदनशील जानकारीलाई गलत हातमा पर्नबाट जोगाउन महत्त्वपूर्ण छ।