Hakerët e Koresë së Veriut përhapin malware BeaverTail përmes paketave me qëllim të keq npm
Një valë e re sulmesh nga hakerat e Koresë së Veriut është shfaqur, duke synuar komunitetin e zhvillimit të softuerit përmes paketave me qëllim të keq npm. Këto paketa, të lidhura me fushatën e vazhdueshme të Intervistës ngjitëse, janë krijuar për të ofruar malware-in BeaverTail , si dhe një ngarkues trojan me qasje në distancë (RAT) të sapo zbuluar. Kjo fushatë është pjesë e një përpjekjeje më të gjerë të Grupit Lazarus për të depërtuar në sisteme, për të vjedhur të dhëna të ndjeshme dhe për të ruajtur aksesin afatgjatë në pajisjet e komprometuara.
Tabela e Përmbajtjes
Teknikat e turbullimit të përdorura për të shmangur zbulimin
Sipas studiuesit të sigurisë së Socket, Kirill Boychenko, këto mostra të fundit përdorin kodimin e vargut heksadecimal si një teknikë mjegullimi, duke i bërë ato më të vështira për t'u zbuluar si nga sistemet e automatizuara ashtu edhe nga auditimet manuale të kodit. Ky përditësim në strategjinë e evazionit të malware tregon një evolucion të qartë në metodat e aktorëve të kërcënimit për të anashkaluar masat e sigurisë.
Paketat me qëllim të keq që maskohen si mjete zhvilluesish
Paketat me qëllim të keq npm u shkarkuan mbi 5600 herë përpara se të hiqeshin. Disa nga paketat e rrezikshme përfshinin validator-array bosh, twitterapis, dev-debugger-vite, snore-log, core-pino, events-utils, icloud-cod, cln-logger, node-clog, consolidate-log, dhe consolidate-logger. Këto paketa kishin për qëllim të maskoheshin si shërbime të ligjshme ose korrigjues, por në fakt po mbanin ngarkesa me qëllim të keq.
Vjedhja e të dhënave përmes intervistave të rreme të punës
Ky zbulim vjen pas një incidenti të ngjashëm që ndodhi një muaj më parë kur u zbuluan gjashtë paketa npm duke përhapur BeaverTail, një vjedhës JavaScript që shpërndau gjithashtu një derë të pasme të bazuar në Python të quajtur InvisibleFerret. Qëllimi përfundimtar i këtyre sulmeve është të depërtojnë në sistemet e zhvilluesve nën maskën e proceseve të intervistës për punë. Pasi hyn, malware vjedh informacione të ndjeshme, fshin asetet financiare dhe lejon hakerët të mbajnë akses të vazhdueshëm në sistemet e komprometuara.
Lidhje me grupin Lazarus dhe fushatën Phantom Circuit
Një paketë e dukshme, dev-debugger-vite, përdori një adresë komandimi dhe kontrolli (C2) që më parë ishte raportuar nga SecurityScorecard si e lidhur me Grupin Lazarus në një fushatë të quajtur Phantom Circuit, e cila u zhvillua në dhjetor 2024. Paketa të tjera, të tilla si ngjarjet-përdorimet dhe icloud-cod, u gjetën të jenë të lidhura me kodin e ri-postues nga ne. Objektivat e GitHub të parë në fushatat e mëparshme. Ky ndryshim, së bashku me direktorinë "eiwork_hire" të gjetur brenda paketës icloud-cod, tregon se sulmuesit vazhdojnë të përdorin taktika të lidhura me intervistat e punës për të aktivizuar infeksionin.
Variante të shumta për të maksimizuar suksesin e infeksionit
Një analizë e disa prej paketave, duke përfshirë cln-logger, node-clog, consolidate-log dhe consolidate-logger, zbuloi variacione të vogla në kod. Këto ndryshime sugjerojnë se aktorët e kërcënimit po përpiqen të rrisin shkallën e suksesit të fushatës së tyre duke vendosur variante të shumta malware. Pavarësisht këtyre dallimeve, kodi i integruar në këto katër paketa funksionon si një ngarkues RAT i aftë për të marrë dhe ekzekutuar ngarkesa shtesë nga serverët e largët. Në këtë fazë, natyra e saktë e malware që po ngarkohet mbetet e paqartë, pasi pikat përfundimtare të C2 nuk po shërbenin më ngarkesa kur studiuesit hetuan.
RAT Loader mundëson kontrollin në distancë të sistemeve të infektuara
Boychenko e përshkroi kodin me qëllim të keq si një ngarkues aktiv me aftësi RAT, duke përdorur eval() për të marrë dhe ekzekutuar JavaScript në distancë. Kjo metodë i lejon sulmuesit të vendosin çdo malware pasues sipas zgjedhjes së tyre, duke e bërë ngarkuesin RAT një kërcënim të rëndësishëm në vetvete.
Fushata e intervistave ngjitëse nuk tregon shenja të ngadalësimit
Këto gjetje theksojnë qëndrueshmërinë e fushatës së Intervistës ngjitëse. Sulmuesit nuk kanë treguar shenja të ngadalësimit, duke vazhduar të krijojnë llogari të reja npm dhe të vendosin kode me qëllim të keq nëpër platforma të ndryshme si npm, GitHub dhe Bitbucket. Ata gjithashtu kanë diversifikuar taktikat e tyre, duke publikuar malware të rinj nën pseudonime të ndryshme, duke përdorur një përzierje deposh dhe duke shfrytëzuar variantet e njohura të malware si BeaverTail dhe InvisibleFerret së bashku me variantet më të reja RAT/loader.
Malware Tropidoor shfaqet në sulmet e phishing të synuara nga zhvilluesit
Ndërkohë, kompania koreano-jugore e sigurisë kibernetike AhnLab ka zbuluar së fundmi një aspekt tjetër të fushatës. Ata identifikuan një sulm phishing me temë rekrutimi që jep BeaverTail, i cili më pas përdoret për të vendosur një derë të pasme të Windows të padokumentuar më parë të quajtur Tropidoor. Kjo derë e pasme, e dorëzuar nëpërmjet një biblioteke npm të vendosur në Bitbucket, është në gjendje të kryejë një gamë të gjerë veprimesh keqdashëse. Tropidoor mund të eksplorojë skedarë, të mbledhë informacione rreth disqeve dhe skedarëve, të ekzekutojë procese, të regjistrojë pamje nga ekrani dhe madje të fshijë ose mbishkruaj skedarët me të dhëna NULL ose të padëshiruara.
Aftësitë e avancuara Sugjeroni lidhje me programet keqdashëse të njohura Lazarus
Analiza e AhnLab zbuloi se Tropidoor funksionon në memorie përmes një shkarkuesi dhe kontakton një server C2 për të marrë udhëzime. Malware përdor drejtpërdrejt komandat e Windows si schtasks, ping dhe reg, të cilat janë vërejtur gjithashtu në malware të tjerë të grupit Lazarus, si LightlessCan. Kjo lidhje e lidh më tej aktivitetin aktual me grupin e Koresë së Veriut, i cili është famëkeq për përdorimin e taktikave të sofistikuara të spiunazhit kibernetik .
Zhvilluesve u kërkohet të qëndrojnë vigjilentë kundër sulmeve të zinxhirit të furnizimit
Zbulimet e fundit nënvizojnë kërcënimin e vazhdueshëm që paraqet Grupi Lazarus dhe aktorë të tjerë të APT-së. Zhvilluesit dhe përdoruesit duhet të tregojnë kujdes kur shkarkojnë paketa ose hapin skedarë nga burime të panjohura ose të dyshimta. Ndërsa këto sulme vazhdojnë të evoluojnë, qëndrimi vigjilent ndaj fushatave të phishing dhe inspektimi i varësive për kodin keqdashës është thelbësor në mbrojtjen e informacionit të ndjeshëm nga rënia në duar të gabuara.