Hackers Norte-Coreanos Espalham o Malware BeaverTail por Meio de Pacotes npm Maliciosos
Uma nova onda de ataques de hackers norte-coreanos surgiu, visando a comunidade de desenvolvimento de software por meio de pacotes npm maliciosos. Esses pacotes, associados à campanha Contagious Interview em andamento, são projetados para entregar o malware BeaverTail, bem como um carregador de trojan de acesso remoto (RAT) recém-descoberto. Esta campanha é parte de um esforço mais amplo do Lazarus Group para infiltrar sistemas, roubar dados confidenciais e manter acesso de longo prazo a dispositivos comprometidos.
Índice
Técnicas de Ofuscação Usadas para Evitar a Detecção
De acordo com o pesquisador de segurança do Socket, Kirill Boychenko, essas últimas amostras empregam codificação de sequência hexadecimal como uma técnica de ofuscação, tornando-as mais difíceis de detectar tanto por sistemas automatizados quanto por auditorias manuais de código. Essa atualização na estratégia de evasão do malware mostra uma evolução clara nos métodos dos agentes de ameaças para contornar medidas de segurança.
Pacotes Maliciosos Disfarçados como Ferramentas de Desenvolvedor
Os pacotes npm maliciosos foram baixados mais de 5.600 vezes antes de serem removidos. Alguns dos pacotes perigosos incluíam empty-array-validator, twitterapis, dev-debugger-vite, snore-log, core-pino, events-utils, icloud-cod, cln-logger, node-clog, consolidate-log e consolidate-logger. Esses pacotes tinham a intenção de se disfarçar como utilitários ou depuradores legítimos, mas, na verdade, carregavam as cargas maliciosas.
Roubo de Dados por Meio de Falsas Entrevistas de Emprego
Esta divulgação segue um incidente semelhante que ocorreu um mês antes, quando seis pacotes npm foram descobertos espalhando BeaverTail, um ladrão de JavaScript que também entregou um backdoor baseado em Python chamado InvisibleFerret. O objetivo final desses ataques é se infiltrar em sistemas de desenvolvedores sob o disfarce de processos de entrevista de emprego. Uma vez dentro, o malware rouba informações confidenciais, desvia ativos financeiros e permite que hackers mantenham acesso persistente aos sistemas comprometidos.
Links para o Grupo Lazarus e a Campanha do Circuito Fantasma
Um pacote notável, dev-debugger-vite, usou um endereço de comando e controle (C2) que foi previamente sinalizado pelo SecurityScorecard como sendo associado ao Lazarus Group em uma campanha chamada Phantom Circuit, que ocorreu em dezembro de 2024. Outros pacotes, como events-utils e icloud-cod, foram encontrados vinculados a repositórios do Bitbucket, divergindo dos alvos usuais do GitHub vistos em campanhas anteriores. Essa mudança, junto com o diretório "eiwork_hire" encontrado dentro do pacote icloud-cod, indica que os invasores continuam a usar táticas relacionadas a entrevistas de emprego para ativar a infecção.
Várias Variantes para Maximizar o Sucesso da Infecção
Uma análise de alguns dos pacotes, incluindo cln-logger, node-clog, consolidate-log e consolidate-logger, revelou pequenas variações no código. Essas mudanças sugerem que os agentes de ameaças estão tentando aumentar a taxa de sucesso de sua campanha implantando várias variantes de malware. Apesar dessas diferenças, o código incorporado nesses quatro pacotes funciona como um carregador RAT capaz de buscar e executar cargas úteis adicionais de servidores remotos. Nesse estágio, a natureza exata do malware que está sendo carregado permanece obscura, pois os endpoints C2 não estavam mais servindo cargas úteis quando os pesquisadores investigaram.
O RAT Loader Permite o Controle Remoto dos Sistemas Infectados
Boychenko descreveu o código malicioso como um carregador ativo com capacidades RAT, usando eval() para buscar e executar JavaScript remoto. Esse método permite que os invasores implantem qualquer malware de acompanhamento de sua escolha, tornando o carregador RAT uma ameaça significativa por si só.
Campanha de Entrevista Contagiosa não Mostra Sinais de Desaceleração
Essas descobertas enfatizam a persistência da campanha Contagious Interview. Os invasores não mostraram sinais de desaceleração, continuando a criar novas contas npm e implantar código malicioso em várias plataformas, como npm, GitHub e Bitbucket. Eles também diversificaram suas táticas, publicando novos malwares sob diferentes pseudônimos, usando uma mistura de repositórios e alavancando variantes de malware bem conhecidas, como BeaverTail e InvisibleFerret, juntamente com variantes RAT/loader mais recentes.
O Malware Tropidoor Surge em Ataques de Phishing Direcionados aos Desenvolvedores
Enquanto isso, a empresa de segurança cibernética sul-coreana AhnLab descobriu recentemente outro aspecto da campanha. Eles identificaram um ataque de phishing com tema de recrutamento que entrega o BeaverTail, que é então usado para implantar um backdoor do Windows anteriormente não documentado chamado Tropidoor. Este backdoor, entregue por meio de uma biblioteca npm hospedada no Bitbucket, é capaz de executar uma ampla gama de ações maliciosas. O Tropidoor pode exfiltrar arquivos, reunir informações sobre unidades e arquivos, executar processos, capturar capturas de tela e até mesmo excluir ou sobrescrever arquivos com dados NULL ou lixo.
Recursos Avançados Sugerem um Link para o Conhecido Malware Lazarus
A análise do AhnLab descobriu que o Tropidoor opera na memória por meio de um downloader e contata um servidor C2 para receber instruções. O malware usa diretamente comandos do Windows, como schtasks, ping e reg, que também foram observados em outros malwares do Lazarus Group, como o LightlessCan. Essa conexão vincula ainda mais a atividade atual ao grupo norte-coreano, que é famoso por seu uso de táticas sofisticadas de espionagem cibernética.
Os Desenvolvedores são Instados a Permanecerem Vigilantes contra Ataques à Cadeia de Suprimentos
As últimas revelações ressaltam a ameaça contínua representada pelo Lazarus Group e outros atores do APT. Desenvolvedores e usuários precisam ter cautela ao baixar pacotes ou abrir arquivos de fontes desconhecidas ou suspeitas. À medida que esses ataques continuam a evoluir, permanecer vigilante contra campanhas de phishing e inspecionar dependências em busca de código malicioso é crucial para proteger informações confidenciais de cair em mãos erradas.