Severokórejskí hackeri šíria malvér BeaverTail prostredníctvom škodlivých balíčkov npm
Objavila sa nová vlna útokov zo strany severokórejských hackerov, ktoré sa zameriavajú na komunitu vývojárov softvéru prostredníctvom škodlivých balíčkov npm. Tieto balíky, spojené s prebiehajúcou kampaňou Contagious Interview, sú navrhnuté tak, aby poskytovali malvér BeaverTail , ako aj novoobjavený zavádzač trójskych koní so vzdialeným prístupom (RAT). Táto kampaň je súčasťou širšieho úsilia skupiny Lazarus o infiltráciu systémov, odcudzenie citlivých údajov a udržanie dlhodobého prístupu k napadnutým zariadeniam.
Obsah
Zahmlievacie techniky používané na vyhýbanie sa detekcii
Podľa výskumníka v oblasti bezpečnosti Socket Kirilla Boychenka tieto najnovšie vzorky využívajú hexadecimálne reťazcové kódovanie ako techniku zahmlievania, čo sťažuje ich detekciu automatickými systémami aj manuálnymi auditmi kódu. Táto aktualizácia stratégie vyhýbania sa škodlivému softvéru ukazuje jasný vývoj metód aktérov hrozieb na obídenie bezpečnostných opatrení.
Škodlivé balíčky, ktoré sa maskujú ako nástroje pre vývojárov
Škodlivé balíčky npm boli stiahnuté viac ako 5 600-krát, kým boli odstránené. Niektoré z nebezpečných balíkov zahŕňali empty-array-validator, twitterapis, dev-debugger-vite, snore-log, core-pino, events-utils, icloud-cod, cln-logger, node-clog, consolidate-log a consolidate-logger. Tieto balíky boli určené na to, aby sa vydávali za legitímne nástroje alebo debuggery, ale v skutočnosti niesli škodlivé zaťaženie.
Krádež údajov prostredníctvom falošných pracovných pohovorov
Toto zverejnenie nasleduje po podobnom incidente, ku ktorému došlo pred mesiacom, keď bolo objavených šesť balíčkov npm šíriacich BeaverTail, kradač JavaScriptu, ktorý tiež priniesol zadné vrátka založené na Pythone s názvom InvisibleFerret. Konečným cieľom týchto útokov je infiltrovať vývojárske systémy pod rúškom procesov prijímacích pohovorov. Malvér ukradne citlivé informácie, odčerpá finančné aktíva a umožní hackerom udržiavať trvalý prístup k napadnutým systémom.
Odkazy na Lazarus Group a kampaň Phantom Circuit
Jeden pozoruhodný balík, dev-debugger-vite, používal príkazovú a riadiacu (C2) adresu, ktorá bola predtým označená SecurityScorecard ako pridružená k Lazarus Group v kampani s názvom Phantom Circuit, ku ktorej došlo v decembri 2024. Zistilo sa, že ďalšie balíky, ako sú events-utils a icloud-cod, boli prepojené s obvyklými kampaňami, ktoré boli zaznamenané v Bitbucket v úložisku GellergubHub. Tento posun spolu s adresárom „eiwork_hire“, ktorý sa nachádza v balíku icloud-cod, naznačuje, že útočníci naďalej používajú taktiky súvisiace s pracovným pohovorom na aktiváciu infekcie.
Viaceré varianty na maximalizáciu úspechu infekcie
Analýza niektorých balíkov, vrátane cln-logger, node-clog, consolidate-log a consolidate-logger, odhalila malé odchýlky v kóde. Tieto zmeny naznačujú, že aktéri hrozieb sa pokúšajú zvýšiť úspešnosť svojej kampane nasadením viacerých variantov malvéru. Napriek týmto rozdielom funguje vložený kód v týchto štyroch balíkoch ako zavádzač RAT schopný načítať a spustiť ďalšie užitočné zaťaženie zo vzdialených serverov. V tejto fáze zostáva presná povaha načítaného malvéru nejasná, pretože koncové body C2 už neslúžili na užitočné zaťaženie, keď výskumníci skúmali.
RAT Loader Umožňuje diaľkové ovládanie infikovaných systémov
Boychenko opísal škodlivý kód ako aktívny zavádzač s funkciami RAT, ktorý používa eval() na načítanie a spustenie vzdialeného JavaScriptu. Táto metóda umožňuje útočníkom nasadiť akýkoľvek následný malvér podľa vlastného výberu, vďaka čomu je zavádzač RAT sám o sebe významnou hrozbou.
Nákazlivá pohovorová kampaň nevykazuje žiadne známky spomalenia
Tieto zistenia zdôrazňujú pretrvávanie kampane Contagious Interview. Útočníci nepreukázali žiadne známky spomalenia, pokračujú vo vytváraní nových účtov npm a nasadzovaní škodlivého kódu na rôzne platformy, ako sú npm, GitHub a Bitbucket. Diverzifikovali tiež svoju taktiku, publikovali nový malvér pod rôznymi aliasmi, používali kombináciu úložísk a využívali známe varianty malvéru ako BeaverTail a InvisibleFerret spolu s novšími variantmi RAT/loader.
Malvér Tropidoor sa objavuje v útokoch phishingu zameraných na vývojárov
Juhokórejská spoločnosť zaoberajúca sa kybernetickou bezpečnosťou AhnLab medzitým nedávno odhalila ďalší aspekt kampane. Identifikovali phishingový útok na tému náboru, ktorý poskytuje BeaverTail, ktorý sa potom používa na nasadenie predtým nezdokumentovaného zadného vrátka systému Windows s názvom Tropidoor. Toto zadné vrátka, dodávané prostredníctvom knižnice npm hosťovanej na Bitbucket, je schopné vykonávať širokú škálu škodlivých akcií. Tropidoor dokáže exfiltrovať súbory, zhromažďovať informácie o jednotkách a súboroch, spúšťať procesy, zachytávať snímky obrazovky a dokonca odstraňovať alebo prepisovať súbory NULL alebo nevyžiadanými údajmi.
Pokročilé schopnosti navrhnúť prepojenie na známy malvér Lazarus
Analýza spoločnosti AhnLab zistila, že Tropidoor funguje v pamäti prostredníctvom sťahovača a kontaktuje server C2, aby dostal pokyny. Malvér priamo používa príkazy systému Windows, ako sú schtasks, ping a reg, ktoré boli pozorované aj pri inom malvéri skupiny Lazarus, ako je napríklad LightlessCan. Toto spojenie ďalej spája súčasnú aktivitu so severokórejskou skupinou, ktorá je neslávne známa používaním sofistikovaných kyberšpionážnych taktík .
Vývojári vyzývajú, aby zostali ostražití proti útokom na dodávateľský reťazec
Najnovšie odhalenia podčiarkujú pretrvávajúcu hrozbu, ktorú predstavuje skupina Lazarus a ďalší aktéri APT. Vývojári aj používatelia musia byť opatrní pri sťahovaní balíkov alebo otváraní súborov z neznámych alebo podozrivých zdrojov. Keďže sa tieto útoky neustále vyvíjajú, ostražitosť pred phishingovými kampaňami a kontrola závislostí na výskyt škodlivého kódu je rozhodujúca pri ochrane citlivých informácií pred tým, aby sa dostali do nesprávnych rúk.