Noord-Koreaanse hackers verspreiden BeaverTail-malware via kwaadaardige npm-pakketten
Er is een nieuwe golf van aanvallen van Noord-Koreaanse hackers opgedoken, gericht op de softwareontwikkelingsgemeenschap via kwaadaardige npm-pakketten. Deze pakketten, geassocieerd met de lopende Contagious Interview-campagne, zijn ontworpen om de BeaverTail-malware te leveren , evenals een onlangs ontdekte remote access trojan (RAT)-loader. Deze campagne is onderdeel van een bredere inspanning van de Lazarus Group om systemen te infiltreren, gevoelige gegevens te stelen en langetermijntoegang tot gecompromitteerde apparaten te behouden.
Inhoudsopgave
Verduisteringstechnieken die worden gebruikt om detectie te ontwijken
Volgens Socket-beveiligingsonderzoeker Kirill Boychenko gebruiken deze nieuwste samples hexadecimale stringcodering als een verduisteringstechniek, waardoor ze moeilijker te detecteren zijn door zowel geautomatiseerde systemen als handmatige code-audits. Deze update in de ontwijkingsstrategie van de malware laat een duidelijke evolutie zien in de methoden van de dreigingsactoren om beveiligingsmaatregelen te omzeilen.
Kwaadaardige pakketten die zich voordoen als ontwikkelaarstools
De kwaadaardige npm-pakketten werden meer dan 5.600 keer gedownload voordat ze werden verwijderd. Enkele van de gevaarlijke pakketten waren empty-array-validator, twitterapis, dev-debugger-vite, snore-log, core-pino, events-utils, icloud-cod, cln-logger, node-clog, consolidate-log en consolidate-logger. Deze pakketten waren bedoeld om zich voor te doen als legitieme hulpprogramma's of debuggers, maar droegen in feite de kwaadaardige payloads.
Gegevens stelen via nep-sollicitatiegesprekken
Deze onthulling volgt op een soortgelijk incident dat een maand eerder plaatsvond toen zes npm-pakketten werden ontdekt die BeaverTail verspreidden, een JavaScript-stealer die ook een op Python gebaseerde backdoor genaamd InvisibleFerret leverde. Het uiteindelijke doel van deze aanvallen is om ontwikkelaarssystemen te infiltreren onder het mom van sollicitatieprocedures. Eenmaal binnen steelt de malware gevoelige informatie, hevelt financiële activa over en stelt hackers in staat om permanente toegang tot de gecompromitteerde systemen te behouden.
Links naar Lazarus Group en Phantom Circuit Campaign
Eén opvallend pakket, dev-debugger-vite, gebruikte een command-and-control (C2)-adres dat eerder door SecurityScorecard was gemarkeerd als geassocieerd met de Lazarus Group in een campagne genaamd Phantom Circuit, die plaatsvond in december 2024. Andere pakketten, zoals events-utils en icloud-cod, bleken te zijn gekoppeld aan Bitbucket-repositories, wat afweek van de gebruikelijke GitHub-doelen die in eerdere campagnes werden gezien. Deze verschuiving, samen met de directory "eiwork_hire" die in het icloud-cod-pakket werd gevonden, geeft aan dat de aanvallers sollicitatiegerelateerde tactieken blijven gebruiken om de infectie te activeren.
Meerdere varianten om het infectiesucces te maximaliseren
Een analyse van enkele pakketten, waaronder cln-logger, node-clog, consolidate-log en consolidate-logger, onthulde kleine variaties in de code. Deze wijzigingen suggereren dat de dreigingsactoren proberen het succespercentage van hun campagne te verhogen door meerdere malwarevarianten te implementeren. Ondanks deze verschillen functioneert de ingebedde code in deze vier pakketten als een RAT-loader die in staat is om extra payloads van externe servers op te halen en uit te voeren. In dit stadium is de exacte aard van de malware die wordt geladen nog onduidelijk, aangezien de C2-eindpunten geen payloads meer serveerden toen onderzoekers onderzoek deden.
RAT Loader maakt externe controle van geïnfecteerde systemen mogelijk
Boychenko beschreef de kwaadaardige code als een actieve loader met RAT-mogelijkheden, die eval() gebruikt om JavaScript op afstand op te halen en uit te voeren. Deze methode stelt aanvallers in staat om elke gewenste follow-up-malware te implementeren, waardoor de RAT-loader op zichzelf al een aanzienlijke bedreiging vormt.
Besmettelijke interviewcampagne vertoont geen tekenen van vertraging
Deze bevindingen benadrukken de persistentie van de Contagious Interview-campagne. De aanvallers hebben geen tekenen van vertraging laten zien, ze blijven nieuwe npm-accounts aanmaken en schadelijke code implementeren op verschillende platforms zoals npm, GitHub en Bitbucket. Ze hebben ook hun tactieken gediversifieerd, nieuwe malware gepubliceerd onder verschillende aliassen, een mix van repositories gebruikt en bekende malwarevarianten zoals BeaverTail en InvisibleFerret gebruikt naast nieuwere RAT/loader-varianten.
Tropidoor-malware duikt op in phishingaanvallen gericht op ontwikkelaars
Ondertussen heeft het Zuid-Koreaanse cybersecuritybedrijf AhnLab onlangs een ander aspect van de campagne ontdekt. Ze identificeerden een phishingaanval met een rekruteringsthema die BeaverTail levert, dat vervolgens wordt gebruikt om een eerder niet-gedocumenteerde Windows-backdoor genaamd Tropidoor te implementeren. Deze backdoor, geleverd via een npm-bibliotheek die wordt gehost op Bitbucket, is in staat om een breed scala aan kwaadaardige acties uit te voeren. Tropidoor kan bestanden exfiltreren, informatie verzamelen over schijven en bestanden, processen uitvoeren, screenshots maken en zelfs bestanden verwijderen of overschrijven met NULL of ongewenste gegevens.
Geavanceerde mogelijkheden suggereren link naar bekende Lazarus-malware
Uit de analyse van AhnLab bleek dat Tropidoor in het geheugen werkt via een downloader en contact maakt met een C2-server om instructies te ontvangen. De malware gebruikt rechtstreeks Windows-opdrachten zoals schtasks, ping en reg, die ook zijn waargenomen in andere Lazarus Group-malware, zoals LightlessCan. Deze verbinding verbindt de huidige activiteit verder met de Noord-Koreaanse groep, die berucht is om zijn gebruik van geavanceerde cyberespionagetactieken .
Ontwikkelaars worden aangespoord waakzaam te blijven tegen aanvallen op de toeleveringsketen
De laatste onthullingen onderstrepen de aanhoudende dreiging die de Lazarus Group en andere APT-actoren vormen. Zowel ontwikkelaars als gebruikers moeten voorzichtig zijn bij het downloaden van pakketten of het openen van bestanden van onbekende of verdachte bronnen. Naarmate deze aanvallen zich blijven ontwikkelen, is het cruciaal om waakzaam te blijven voor phishingcampagnes en afhankelijkheden te inspecteren op schadelijke code om te voorkomen dat gevoelige informatie in de verkeerde handen valt.