Severnokorejski hekerji širijo zlonamerno programsko opremo BeaverTail prek zlonamernih paketov npm
Pojavil se je nov val napadov severnokorejskih hekerjev, ki ciljajo na skupnost razvijalcev programske opreme prek zlonamernih paketov npm. Ti paketi, povezani s tekočo kampanjo Contagious Interview, so zasnovani za dostavo zlonamerne programske opreme BeaverTail in na novo odkritega trojanskega nalagalnika (RAT). Ta kampanja je del širšega prizadevanja skupine Lazarus za infiltracijo v sisteme, krajo občutljivih podatkov in vzdrževanje dolgoročnega dostopa do ogroženih naprav.
Kazalo
Tehnike zakrivanja, ki se uporabljajo za izogibanje odkrivanju
Po besedah raziskovalca varnosti Socket Kirill Boychenko ti najnovejši vzorci uporabljajo šestnajstiško kodiranje nizov kot tehniko zakrivanja, zaradi česar jih je težje odkriti tako z avtomatiziranimi sistemi kot z ročnimi revizijami kode. Ta posodobitev strategije izogibanja zlonamerni programski opremi kaže jasen razvoj metod akterjev groženj za izogibanje varnostnim ukrepom.
Zlonamerni paketi, ki se predstavljajo kot orodja za razvijalce
Zlonamerni paketi npm so bili preneseni več kot 5600-krat, preden so bili odstranjeni. Nekateri nevarni paketi so vključevali prazni-array-validator, twitterapis, dev-debugger-vite, snore-log, core-pino, events-utils, icloud-cod, cln-logger, node-clog, consolidate-log in consolidate-logger. Ti paketi so bili namenjeni maskiranju kot zakoniti pripomočki ali razhroščevalniki, vendar so v resnici prenašali zlonamerno koristno obremenitev.
Kraja podatkov prek lažnih razgovorov za službo
To razkritje sledi podobnemu incidentu, ki se je zgodil mesec dni prej, ko je bilo odkritih šest paketov npm, ki širijo BeaverTail, kradljivca JavaScripta, ki je prav tako zagotovil stranska vrata, ki temeljijo na Pythonu, imenovano InvisibleFerret. Končni cilj teh napadov je infiltracija v sisteme razvijalcev pod krinko postopkov razgovora za službo. Ko zlonamerna programska oprema enkrat vstopi, ukrade občutljive podatke, izčrpa finančna sredstva in hekerjem omogoči trajen dostop do ogroženih sistemov.
Povezave do skupine Lazarus Group in kampanje Phantom Circuit
Eden pomembnih paketov, dev-debugger-vite, je uporabljal naslov ukazov in nadzora (C2), ki ga je SecurityScorecard prej označil kot povezanega s skupino Lazarus v kampanji z imenom Phantom Circuit, ki se je zgodila decembra 2024. Za druge pakete, kot sta events-utils in icloud-cod, je bilo ugotovljeno, da so povezani z repozitoriji Bitbucket, ki se razlikujejo od običajnega GitHuba. cilje iz prejšnjih oglaševalskih akcij. Ta premik, skupaj z imenikom "eiwork_hire", ki ga najdete v paketu icloud-cod, kaže, da napadalci še naprej uporabljajo taktike, povezane z razgovori za službo, da aktivirajo okužbo.
Več različic za čim večjo uspešnost okužbe
Analiza nekaterih paketov, vključno s cln-logger, node-clog, consolidate-log in consolidate-logger, je razkrila majhne razlike v kodi. Te spremembe kažejo, da akterji groženj poskušajo povečati stopnjo uspešnosti svoje kampanje z uporabo več različic zlonamerne programske opreme. Kljub tem razlikam vdelana koda v teh štirih paketih deluje kot nalagalnik RAT, ki je sposoben pridobiti in izvesti dodatne koristne obremenitve z oddaljenih strežnikov. Na tej stopnji natančna narava zlonamerne programske opreme, ki se nalaga, ostaja nejasna, saj končne točke C2 niso več služile koristnim obremenitvam, ko so raziskovalci raziskovali.
RAT Loader omogoča daljinski nadzor okuženih sistemov
Boychenko je zlonamerno kodo opisal kot aktivni nalagalnik z zmogljivostmi RAT, ki uporablja eval() za pridobivanje in zagon oddaljenega JavaScripta. Ta metoda omogoča napadalcem, da namestijo katero koli nadaljnjo zlonamerno programsko opremo po lastni izbiri, zaradi česar je nalagalnik RAT že sam po sebi pomembna grožnja.
Kampanja za nalezljive intervjuje ne kaže znakov upočasnitve
Te ugotovitve poudarjajo vztrajnost kampanje Contagious Interview. Napadalci niso pokazali nobenih znakov upočasnjevanja, saj še naprej ustvarjajo nove račune npm in uvajajo zlonamerno kodo na različnih platformah, kot so npm, GitHub in Bitbucket. Prav tako so razširili svoje taktike, objavljajo novo zlonamerno programsko opremo pod različnimi vzdevki, uporabljajo kombinacijo repozitorijev in izkoriščajo dobro znane različice zlonamerne programske opreme, kot sta BeaverTail in InvisibleFerret, skupaj z novejšimi različicami RAT/nalagalnika.
Zlonamerna programska oprema Tropidoor se pojavi v napadih lažnega predstavljanja, usmerjenih v razvijalce
Medtem je južnokorejsko podjetje za kibernetsko varnost AhnLab nedavno odkrilo še en vidik kampanje. Identificirali so napad z lažnim predstavljanjem na temo zaposlovanja, ki zagotavlja BeaverTail, ki se nato uporabi za uvedbo prej nedokumentiranih stranskih vrat Windows, imenovanih Tropidoor. Ta zadnja vrata, dostavljena prek knjižnice npm, ki gostuje na Bitbucketu, lahko izvajajo širok spekter zlonamernih dejanj. Tropidoor lahko eksfiltrira datoteke, zbira informacije o pogonih in datotekah, izvaja procese, zajema posnetke zaslona in celo briše ali prepisuje datoteke z NULL ali neželenimi podatki.
Napredne zmogljivosti predlagajo povezavo do znane zlonamerne programske opreme Lazarus
Analiza AhnLaba je pokazala, da Tropidoor deluje v pomnilniku prek prenosnika in vzpostavi stik s strežnikom C2, da prejme navodila. Zlonamerna programska oprema neposredno uporablja ukaze Windows, kot so schtasks, ping in reg, ki so bili opaženi tudi v drugi zlonamerni programski opremi skupine Lazarus Group, kot je LightlessCan. Ta povezava dodatno povezuje trenutno dejavnost s severnokorejsko skupino, ki je razvpita po uporabi prefinjene taktike kibernetskega vohunjenja .
Razvijalci pozvani, naj ostanejo pozorni na napade na dobavno verigo
Najnovejša razkritja poudarjajo stalno grožnjo skupine Lazarus in drugih akterjev APT. Razvijalci in uporabniki morajo biti previdni pri prenašanju paketov ali odpiranju datotek iz neznanih ali sumljivih virov. Ker se ti napadi še naprej razvijajo, sta pozorni na kampanje lažnega predstavljanja in pregledovanje odvisnosti za zlonamerno kodo ključnega pomena za zaščito občutljivih informacij pred tem, da bi padle v napačne roke.