Nordkoreanska hackare sprider BeaverTail-malware genom skadliga npm-paket
En ny våg av attacker från nordkoreanska hackare har dykt upp, riktade mot mjukvaruutvecklingsgemenskapen genom skadliga npm-paket. Dessa paket, som är förknippade med den pågående smittsamma intervjukampanjen, är designade för att leverera BeaverTail malware , såväl som en nyupptäckt fjärråtkomst trojan (RAT) loader. Denna kampanj är en del av en bredare ansträngning av Lazarus Group för att infiltrera system, stjäla känslig data och upprätthålla långtidsåtkomst till komprometterade enheter.
Innehållsförteckning
Obfuskeringstekniker som används för att undvika upptäckt
Enligt Socket-säkerhetsforskaren Kirill Boychenko använder dessa senaste prover hexadecimal strängkodning som en obfuskeringsteknik, vilket gör dem svårare att upptäcka av både automatiserade system och manuella kodgranskningar. Den här uppdateringen av skadlig programvaras strategi för skatteflykt visar en tydlig utveckling av hotaktörernas metoder för att kringgå säkerhetsåtgärder.
Skadliga paket maskerar sig som utvecklarverktyg
De skadliga npm-paketen laddades ner över 5 600 gånger innan de togs bort. Några av de farliga paketen inkluderade empty-array-validator, twitterapis, dev-debugger-vite, snore-log, core-pino, event-utils, icloud-cod, cln-logger, node-clog, consolide-log och consolide-logger. Dessa paket var avsedda att maskera sig som legitima verktyg eller debuggers, men de bar i själva verket de skadliga nyttolasterna.
Att stjäla data genom falska jobbintervjuer
Detta avslöjande följer en liknande incident som inträffade en månad tidigare när sex npm-paket upptäcktes sprida BeaverTail, en JavaScript-stjuver som också levererade en Python-baserad bakdörr som heter InvisibleFerret. Det slutliga målet med dessa attacker är att infiltrera utvecklarsystem under sken av jobbintervjuprocesser. Väl in, stjäl skadlig programvara känslig information, häver finansiella tillgångar och tillåter hackare att behålla beständig åtkomst till de komprometterade systemen.
Länkar till Lazarus Group och Phantom Circuit Campaign
Ett anmärkningsvärt paket, dev-debugger-vite, använde en kommando-och-kontroll-adress (C2) som tidigare flaggats av SecurityScorecard som associerad med Lazarus-gruppen i en kampanj som heter Phantom Circuit, som inträffade i december 2024. Andra paket, såsom event-utils och icloud-cod, visade sig vara länkade till usb-repositories, GienBucket. tidigare kampanjer. Denna förändring, tillsammans med "eiwork_hire"-katalogen som finns i icloud-cod-paketet, indikerar att angriparna fortsätter att använda arbetsintervjurelaterade taktiker för att aktivera infektionen.
Flera varianter för att maximera infektionsframgången
En analys av några av paketen, inklusive cln-logger, node-clog, consolide-log och consolide-logger, avslöjade små variationer i koden. Dessa förändringar tyder på att hotaktörerna försöker öka framgångsfrekvensen för sin kampanj genom att distribuera flera varianter av skadlig programvara. Trots dessa skillnader fungerar den inbäddade koden över dessa fyra paket som en RAT-lastare som kan hämta och exekvera ytterligare nyttolaster från fjärrservrar. I det här skedet är den exakta typen av skadlig programvara som laddas oklart, eftersom C2-slutpunkterna inte längre tjänade nyttolaster när forskare undersökte.
RAT Loader möjliggör fjärrkontroll av infekterade system
Boychenko beskrev den skadliga koden som en aktiv laddare med RAT-funktioner, med hjälp av eval() för att hämta och köra fjärr-JavaScript. Den här metoden tillåter angriparna att distribuera eventuell uppföljande skadlig programvara som de väljer, vilket gör RAT-lastaren till ett betydande hot i sig.
Smittsam intervjukampanj visar inga tecken på att sakta ner
Dessa fynd betonar uthålligheten i kampanjen för smittsam intervju. Angriparna har inte visat några tecken på att sakta ner, fortsätter att skapa nya npm-konton och distribuera skadlig kod över olika plattformar som npm, GitHub och Bitbucket. De har också diversifierat sin taktik, publicerat ny skadlig programvara under olika alias, med hjälp av en blandning av arkiv och utnyttjat välkända malware-varianter som BeaverTail och InvisibleFerret tillsammans med nyare RAT/loader-varianter.
Tropidoor skadlig programvara dyker upp i utvecklarriktade nätfiskeattacker
Samtidigt har det sydkoreanska cybersäkerhetsföretaget AhnLab nyligen avslöjat en annan aspekt av kampanjen. De identifierade en nätfiskeattack med rekryteringstema som levererar BeaverTail, som sedan används för att distribuera en tidigare odokumenterad Windows-bakdörr som heter Tropidoor. Den här bakdörren, som levereras via ett npm-bibliotek på Bitbucket, kan utföra ett brett utbud av skadliga åtgärder. Tropidoor kan exfiltrera filer, samla information om enheter och filer, köra processer, ta skärmdumpar och till och med ta bort eller skriva över filer med NULL eller skräpdata.
Avancerade funktioner föreslår länk till känd Lazarus Malware
AhnLabs analys fann att Tropidoor arbetar i minnet via en nedladdningsverktyg och kontaktar en C2-server för att få instruktioner. Skadlig programvara använder direkt Windows-kommandon som schtasks, ping och reg, som också har observerats i andra Lazarus Group-skadliga program, som LightlessCan. Denna koppling knyter ytterligare den nuvarande aktiviteten till den nordkoreanska gruppen, som är ökända för sin användning av sofistikerad cyberspionagetaktik .
Utvecklare uppmanas att vara vaksamma mot attacker i leveranskedjan
De senaste avslöjandena understryker det pågående hotet från Lazarus Group och andra APT-aktörer. Både utvecklare och användare måste vara försiktiga när de laddar ner paket eller öppnar filer från okända eller misstänkta källor. När dessa attacker fortsätter att utvecklas är det avgörande att hålla sig vaksam mot nätfiskekampanjer och inspektera beroenden för skadlig kod för att skydda känslig information från att hamna i fel händer.