Hackerii nord-coreeni răspândesc programe malware BeaverTail prin pachete npm rău intenționate
Un nou val de atacuri din partea hackerilor nord-coreeni a apărut, vizând comunitatea de dezvoltare de software prin pachete npm rău intenționate. Aceste pachete, asociate cu campania în curs de desfășurare Contagious Interview, sunt concepute pentru a furniza malware-ul BeaverTail , precum și un încărcător troian de acces la distanță (RAT) recent descoperit. Această campanie face parte dintr-un efort mai amplu al Grupului Lazarus de a se infiltra în sisteme, de a fura date sensibile și de a menține accesul pe termen lung la dispozitivele compromise.
Cuprins
Tehnici de ofuscare utilizate pentru a evita detectarea
Potrivit cercetătorului de securitate Socket Kirill Boychenko, aceste ultime mostre folosesc codificarea șirurilor hexazecimale ca tehnică de ofuscare, ceea ce le face mai greu de detectat atât de către sistemele automate, cât și de auditurile manuale ale codului. Această actualizare a strategiei de evaziune a malware-ului arată o evoluție clară a metodelor actorilor de amenințări de a ocoli măsurile de securitate.
Pachete rău intenționate care se maschează ca instrumente pentru dezvoltatori
Pachetele npm rău intenționate au fost descărcate de peste 5.600 de ori înainte de a fi eliminate. Unele dintre pachetele periculoase includ empty-array-validator, twitterapis, dev-debugger-vite, snore-log, core-pino, events-utils, icloud-cod, cln-logger, node-clog, consolidate-log și consolidate-logger. Aceste pachete erau destinate să se prefacă drept utilitare sau depanare legitime, dar de fapt transportau încărcături utile rău intenționate.
Furtul de date prin interviuri false
Această dezvăluire urmează unui incident similar care a avut loc cu o lună mai devreme, când au fost descoperite șase pachete npm care răspândeau BeaverTail, un furt de JavaScript care a furnizat și o ușă din spate bazată pe Python numită InvisibleFerret. Scopul final al acestor atacuri este de a infiltra sistemele dezvoltatorilor sub masca proceselor de interviu de angajare. Odată intrat, malware-ul fură informații sensibile, sifonează activele financiare și permite hackerilor să mențină accesul persistent la sistemele compromise.
Link-uri către Lazarus Group și Phantom Circuit Campaign
Un pachet remarcabil, dev-debugger-vite, a folosit o adresă de comandă și control (C2) care a fost semnalată anterior de SecurityScorecard ca fiind asociată cu Grupul Lazarus într-o campanie numită Phantom Circuit, care a avut loc în decembrie 2024. S-au descoperit că alte pachete, cum ar fi events-utils și icloud-cod, sunt legate la depozitele Bitbucket din secțiunea uzuală. campanii anterioare. Această schimbare, împreună cu directorul „eiwork_hire” găsit în pachetul icloud-cod, indică faptul că atacatorii continuă să folosească tactici legate de interviul de angajare pentru a activa infecția.
Variante multiple pentru a maximiza succesul infecției
O analiză a unor pachete, inclusiv cln-logger, node-clog, consolidate-log și consolidate-logger, a scos la iveală mici variații ale codului. Aceste modificări sugerează că actorii amenințărilor încearcă să mărească rata de succes a campaniei lor prin implementarea mai multor variante de malware. În ciuda acestor diferențe, codul încorporat în aceste patru pachete funcționează ca un încărcător RAT capabil să preia și să execute încărcături suplimentare de la servere la distanță. În această etapă, natura exactă a malware-ului încărcat rămâne neclară, deoarece punctele finale C2 nu mai deserveau sarcini utile atunci când cercetătorii au investigat.
RAT Loader permite controlul de la distanță al sistemelor infectate
Boychenko a descris codul rău intenționat ca un încărcător activ cu capabilități RAT, folosind eval() pentru a prelua și rula JavaScript la distanță. Această metodă le permite atacatorilor să implementeze orice malware ulterioară ales de ei, făcând încărcătorul RAT o amenințare semnificativă în sine.
Campania de interviuri contagioase nu arată semne de încetinire
Aceste constatări subliniază persistența campaniei Contagious Interview. Atacatorii nu au dat semne de încetinire, continuând să creeze noi conturi npm și să implementeze cod rău intenționat pe diverse platforme precum npm, GitHub și Bitbucket. De asemenea, și-au diversificat tacticile, publicând noi programe malware sub diferite pseudonime, folosind un amestec de depozite și utilizând variante de malware binecunoscute precum BeaverTail și InvisibleFerret alături de variante mai noi RAT/loader.
Malware Tropidoor apare în atacurile de phishing direcționate de dezvoltatori
Între timp, compania sud-coreeană de securitate cibernetică AhnLab a dezvăluit recent un alt aspect al campaniei. Ei au identificat un atac de phishing cu tematică de recrutare care oferă BeaverTail, care este apoi folosit pentru a implementa o ușă din spate Windows nedocumentată anterior numită Tropidoor. Această ușă din spate, furnizată printr-o bibliotecă npm găzduită pe Bitbucket, este capabilă să efectueze o gamă largă de acțiuni rău intenționate. Tropidoor poate să exfiltreze fișiere, să adune informații despre unități și fișiere, să ruleze procese, să capteze capturi de ecran și chiar să ștergă sau să suprascrie fișiere cu date NULL sau nedorite.
Capabilitățile avansate sugerează link către programul malware Lazarus cunoscut
Analiza AhnLab a constatat că Tropidoor operează în memorie printr-un program de descărcare și contactează un server C2 pentru a primi instrucțiuni. Malware-ul folosește direct comenzi Windows, cum ar fi schtasks, ping și reg, care au fost observate și în alte programe malware ale Grupului Lazarus, cum ar fi LightlessCan. Această conexiune leagă și mai mult activitatea curentă de grupul nord-coreean, care este renumit pentru utilizarea tacticilor sofisticate de spionaj cibernetic .
Dezvoltatorii sunt îndemnați să rămână vigilenți împotriva atacurilor lanțului de aprovizionare
Ultimele dezvăluiri subliniază amenințarea continuă reprezentată de Grupul Lazăr și de alți actori APT. Dezvoltatorii și utilizatorii trebuie să fie precauți atunci când descarcă pachete sau deschid fișiere din surse necunoscute sau suspecte. Pe măsură ce aceste atacuri continuă să evolueze, rămânerea vigilentă împotriva campaniilor de phishing și inspectarea dependențelor pentru coduri rău intenționate este crucială pentru a proteja informațiile sensibile împotriva căderii în mâini greșite.