Hakerzy z Korei Północnej rozprzestrzeniają złośliwe oprogramowanie BeaverTail za pośrednictwem złośliwych pakietów npm
Pojawiła się nowa fala ataków północnokoreańskich hakerów, których celem jest społeczność programistów oprogramowania za pośrednictwem złośliwych pakietów npm. Pakiety te, powiązane z trwającą kampanią Contagious Interview, mają na celu dostarczenie złośliwego oprogramowania BeaverTail , a także niedawno odkrytego programu ładującego trojana zdalnego dostępu (RAT). Ta kampania jest częścią szerszego wysiłku Grupy Lazarus mającego na celu infiltrację systemów, kradzież poufnych danych i utrzymanie długoterminowego dostępu do naruszonych urządzeń.
Spis treści
Techniki zaciemniania stosowane w celu uniknięcia wykrycia
Według badacza bezpieczeństwa Socket, Kirilla Boychenko, te najnowsze próbki wykorzystują kodowanie ciągu szesnastkowego jako technikę zaciemniania, co utrudnia ich wykrycie zarówno przez zautomatyzowane systemy, jak i ręczne audyty kodu. Ta aktualizacja strategii unikania złośliwego oprogramowania pokazuje wyraźną ewolucję metod aktorów zagrożeń w celu omijania środków bezpieczeństwa.
Złośliwe pakiety podszywające się pod narzędzia programistyczne
Złośliwe pakiety npm zostały pobrane ponad 5600 razy, zanim zostały usunięte. Niektóre z niebezpiecznych pakietów obejmowały empty-array-validator, twitterapis, dev-debugger-vite, snore-log, core-pino, events-utils, icloud-cod, cln-logger, node-clog, consolidate-log i consolidate-logger. Pakiety te miały maskować się jako legalne narzędzia lub debugery, ale w rzeczywistości przenosiły złośliwe ładunki.
Kradzież danych poprzez fałszywe rozmowy kwalifikacyjne
To ujawnienie następuje po podobnym incydencie, który miał miejsce miesiąc wcześniej, kiedy odkryto sześć pakietów npm rozprzestrzeniających BeaverTail, złodzieja JavaScript, który również dostarczył opartego na Pythonie tylnego wejścia o nazwie InvisibleFerret. Ostatecznym celem tych ataków jest infiltracja systemów programistów pod przykrywką procesów rozmów kwalifikacyjnych. Po wejściu do systemu złośliwe oprogramowanie kradnie poufne informacje, wysysa aktywa finansowe i umożliwia hakerom utrzymanie stałego dostępu do naruszonych systemów.
Linki do grupy Lazarus i kampanii Phantom Circuit
Jeden z godnych uwagi pakietów, dev-debugger-vite, używał adresu command-and-control (C2), który został wcześniej oznaczony przez SecurityScorecard jako powiązany z grupą Lazarus w kampanii o nazwie Phantom Circuit, która miała miejsce w grudniu 2024 r. Odkryto, że inne pakiety, takie jak events-utils i icloud-cod, były powiązane z repozytoriami Bitbucket, co odbiegało od zwykłych celów GitHub widzianych we wcześniejszych kampaniach. Ta zmiana, wraz z katalogiem „eiwork_hire” znalezionym w pakiecie icloud-cod, wskazuje, że atakujący nadal stosują taktyki związane z rozmowami kwalifikacyjnymi w celu aktywacji infekcji.
Wiele wariantów w celu maksymalizacji skuteczności infekcji
Analiza niektórych pakietów, w tym cln-logger, node-clog, consolidate-log i consolidate-logger, ujawniła niewielkie różnice w kodzie. Zmiany te sugerują, że aktorzy zagrożenia próbują zwiększyć wskaźnik sukcesu swojej kampanii, wdrażając wiele wariantów złośliwego oprogramowania. Pomimo tych różnic osadzony kod w tych czterech pakietach działa jako ładowarka RAT, która może pobierać i wykonywać dodatkowe ładunki ze zdalnych serwerów. Na tym etapie dokładna natura ładowanego złośliwego oprogramowania pozostaje niejasna, ponieważ punkty końcowe C2 nie obsługiwały już ładunków, gdy badacze prowadzili dochodzenie.
RAT Loader umożliwia zdalną kontrolę zainfekowanych systemów
Boychenko opisał złośliwy kod jako aktywny program ładujący z możliwościami RAT, używający eval() do pobierania i uruchamiania zdalnego JavaScript. Ta metoda pozwala atakującym na wdrażanie dowolnego wybranego przez nich złośliwego oprogramowania, co sprawia, że program ładujący RAT stanowi samo w sobie poważne zagrożenie.
Kampania wywiadów zaraźliwych nie wykazuje oznak spowolnienia
Te ustalenia podkreślają trwałość kampanii Contagious Interview. Atakujący nie wykazują oznak spowolnienia, kontynuując tworzenie nowych kont npm i wdrażanie złośliwego kodu na różnych platformach, takich jak npm, GitHub i Bitbucket. Zróżnicowali również swoje taktyki, publikując nowe złośliwe oprogramowanie pod różnymi aliasami, korzystając z mieszanki repozytoriów i wykorzystując dobrze znane warianty złośliwego oprogramowania, takie jak BeaverTail i InvisibleFerret, obok nowszych wariantów RAT/loader.
Malware Tropidoor pojawia się w atakach phishingowych skierowanych do programistów
Tymczasem południowokoreańska firma zajmująca się cyberbezpieczeństwem AhnLab niedawno odkryła inny aspekt kampanii. Zidentyfikowali atak phishingowy o tematyce rekrutacyjnej, który dostarcza BeaverTail, który jest następnie używany do wdrożenia wcześniej nieudokumentowanego backdoora Windows o nazwie Tropidoor. Ten backdoor, dostarczany za pośrednictwem biblioteki npm hostowanej w Bitbucket, jest w stanie wykonywać szeroki zakres złośliwych działań. Tropidoor może eksfiltrować pliki, zbierać informacje o dyskach i plikach, uruchamiać procesy, robić zrzuty ekranu, a nawet usuwać lub nadpisywać pliki danymi NULL lub śmieciowymi.
Zaawansowane możliwości sugerują powiązanie ze znanym złośliwym oprogramowaniem Lazarus
Analiza AhnLab wykazała, że Tropidoor działa w pamięci za pośrednictwem programu do pobierania i kontaktuje się z serwerem C2 w celu otrzymywania instrukcji. Złośliwe oprogramowanie bezpośrednio używa poleceń systemu Windows, takich jak schtasks, ping i reg, które zaobserwowano również w innych złośliwych programach grupy Lazarus, takich jak LightlessCan. To połączenie dodatkowo wiąże obecną aktywność z północnokoreańską grupą, która jest niesławna ze stosowania wyrafinowanych taktyk cybernetycznego szpiegostwa .
Deweloperzy proszeni o zachowanie czujności w obliczu ataków na łańcuch dostaw
Najnowsze rewelacje podkreślają ciągłe zagrożenie ze strony Lazarus Group i innych aktorów APT. Zarówno deweloperzy, jak i użytkownicy muszą zachować ostrożność podczas pobierania pakietów lub otwierania plików z nieznanych lub podejrzanych źródeł. W miarę rozwoju tych ataków zachowanie czujności w stosunku do kampanii phishingowych i sprawdzanie zależności pod kątem złośliwego kodu jest kluczowe w ochronie poufnych informacji przed dostaniem się w niepowołane ręce.