Северокорейские хакеры распространяют вредоносное ПО BeaverTail через вредоносные пакеты npm
Началась новая волна атак северокорейских хакеров, нацеленных на сообщество разработчиков программного обеспечения с помощью вредоносных пакетов npm. Эти пакеты, связанные с продолжающейся кампанией Contagious Interview, предназначены для доставки вредоносного ПО BeaverTail , а также недавно обнаруженного загрузчика трояна удаленного доступа (RAT). Эта кампания является частью более широких усилий Lazarus Group по проникновению в системы, краже конфиденциальных данных и поддержанию долгосрочного доступа к скомпрометированным устройствам.
Оглавление
Методы сокрытия информации, используемые для избежания обнаружения
По словам исследователя безопасности Socket Кирилла Бойченко, эти последние образцы используют шестнадцатеричное кодирование строк в качестве техники обфускации, что затрудняет их обнаружение как автоматизированными системами, так и ручными проверками кода. Это обновление в стратегии уклонения вредоносного ПО демонстрирует четкую эволюцию методов злоумышленников по обходу мер безопасности.
Вредоносные пакеты, маскирующиеся под инструменты разработчика
Вредоносные пакеты npm были загружены более 5600 раз, прежде чем были удалены. Некоторые из опасных пакетов включали empty-array-validator, twitterapis, dev-debugger-vite, snore-log, core-pino, events-utils, icloud-cod, cln-logger, node-clog, console-log и console-logger. Эти пакеты были предназначены для маскировки под легитимные утилиты или отладчики, но на самом деле несли вредоносную полезную нагрузку.
Кража данных с помощью поддельных собеседований при приеме на работу
Это раскрытие следует за аналогичным инцидентом, который произошел месяцем ранее, когда были обнаружены шесть пакетов npm, распространяющих BeaverTail, похититель JavaScript, который также поставлял бэкдор на основе Python под названием InvisibleFerret. Конечной целью этих атак является проникновение в системы разработчиков под видом процессов собеседования. Попав внутрь, вредоносная программа крадет конфиденциальную информацию, выкачивает финансовые активы и позволяет хакерам поддерживать постоянный доступ к скомпрометированным системам.
Ссылки на Lazarus Group и кампанию Phantom Circuit
Один примечательный пакет, dev-debugger-vite, использовал адрес командно-контрольного (C2), который ранее был помечен SecurityScorecard как связанный с Lazarus Group в кампании под названием Phantom Circuit, которая произошла в декабре 2024 года. Было обнаружено, что другие пакеты, такие как events-utils и icloud-cod, связаны с репозиториями Bitbucket, что отличается от обычных целей GitHub, наблюдавшихся в более ранних кампаниях. Это изменение, наряду с каталогом "eiwork_hire", обнаруженным в пакете icloud-cod, указывает на то, что злоумышленники продолжают использовать тактику, связанную с собеседованием при приеме на работу, для активации заражения.
Множество вариантов для максимального успеха заражения
Анализ некоторых пакетов, включая cln-logger, node-clog, console-log и console-logger, выявил небольшие изменения в коде. Эти изменения говорят о том, что злоумышленники пытаются повысить успешность своей кампании, развертывая несколько вариантов вредоносного ПО. Несмотря на эти различия, встроенный код в этих четырех пакетах функционирует как загрузчик RAT, способный извлекать и выполнять дополнительные полезные нагрузки с удаленных серверов. На данном этапе точная природа загружаемого вредоносного ПО остается неясной, поскольку конечные точки C2 уже не обслуживали полезные нагрузки, когда исследователи проводили расследование.
RAT Loader позволяет осуществлять удаленное управление зараженными системами
Бойченко описал вредоносный код как активный загрузчик с возможностями RAT, использующий eval() для извлечения и запуска удаленного JavaScript. Этот метод позволяет злоумышленникам развертывать любые последующие вредоносные программы по своему выбору, что делает загрузчик RAT сам по себе значительной угрозой.
Заразительная кампания интервью не показывает никаких признаков замедления
Эти результаты подчеркивают настойчивость кампании Contagious Interview. Злоумышленники не показали никаких признаков замедления, продолжая создавать новые учетные записи npm и развертывать вредоносный код на различных платформах, таких как npm, GitHub и Bitbucket. Они также диверсифицировали свою тактику, публикуя новые вредоносные программы под разными псевдонимами, используя смесь репозиториев и используя известные варианты вредоносных программ, такие как BeaverTail и InvisibleFerret, наряду с новыми вариантами RAT/loader.
Вредоносное ПО Tropidoor используется в фишинговых атаках, нацеленных на разработчиков
Тем временем южнокорейская компания по кибербезопасности AhnLab недавно раскрыла еще один аспект кампании. Они идентифицировали фишинговую атаку на тему вербовки, которая доставляет BeaverTail, который затем используется для развертывания ранее недокументированного бэкдора Windows под названием Tropidoor. Этот бэкдор, доставляемый через библиотеку npm, размещенную на Bitbucket, способен выполнять широкий спектр вредоносных действий. Tropidoor может извлекать файлы, собирать информацию о дисках и файлах, запускать процессы, делать снимки экрана и даже удалять или перезаписывать файлы данными NULL или мусором.
Расширенные возможности предлагают ссылку на известное вредоносное ПО Lazarus
Анализ AhnLab показал, что Tropidoor работает в памяти через загрузчик и связывается с сервером C2 для получения инструкций. Вредоносная программа напрямую использует команды Windows, такие как schtasks, ping и reg, которые также наблюдались в других вредоносных программах Lazarus Group, таких как LightlessCan. Эта связь еще больше связывает текущую активность с северокорейской группой, которая печально известна своим использованием сложных тактик кибершпионажа .
Разработчиков призывают сохранять бдительность в отношении атак на цепочки поставок
Последние разоблачения подчеркивают постоянную угрозу, исходящую от Lazarus Group и других участников APT. Разработчикам и пользователям необходимо проявлять осторожность при загрузке пакетов или открытии файлов из неизвестных или подозрительных источников. Поскольку эти атаки продолжают развиваться, сохранение бдительности в отношении фишинговых кампаний и проверка зависимостей на наличие вредоносного кода имеет решающее значение для защиты конфиденциальной информации от попадания в чужие руки.