வட கொரிய ஹேக்கர்கள் தீங்கிழைக்கும் npm தொகுப்புகள் மூலம் BeaverTail தீம்பொருளைப் பரப்புகின்றனர்.
வட கொரிய ஹேக்கர்களிடமிருந்து புதிய அலை தாக்குதல்கள் எழுந்துள்ளன, அவை தீங்கிழைக்கும் npm தொகுப்புகள் மூலம் மென்பொருள் மேம்பாட்டு சமூகத்தை குறிவைத்துள்ளன. தற்போதைய Contagious Interview பிரச்சாரத்துடன் தொடர்புடைய இந்த தொகுப்புகள், BeaverTail தீம்பொருளையும், புதிதாக கண்டுபிடிக்கப்பட்ட ரிமோட் அக்சஸ் ட்ரோஜன் (RAT) ஏற்றியையும் வழங்க வடிவமைக்கப்பட்டுள்ளன . இந்த பிரச்சாரம், லாசரஸ் குழுமத்தின் அமைப்புகளை ஊடுருவி, முக்கியமான தரவைத் திருட மற்றும் சமரசம் செய்யப்பட்ட சாதனங்களுக்கு நீண்டகால அணுகலைப் பராமரிக்கும் பரந்த முயற்சியின் ஒரு பகுதியாகும்.
பொருளடக்கம்
கண்டறிதலைத் தவிர்க்கப் பயன்படுத்தப்படும் தெளிவின்மை நுட்பங்கள்
சாக்கெட் பாதுகாப்பு ஆராய்ச்சியாளர் கிரில் பாய்சென்கோவின் கூற்றுப்படி, இந்த சமீபத்திய மாதிரிகள் ஹெக்ஸாடெசிமல் சரம் குறியாக்கத்தை ஒரு தெளிவற்ற நுட்பமாகப் பயன்படுத்துகின்றன, இதனால் தானியங்கி அமைப்புகள் மற்றும் கையேடு குறியீடு தணிக்கைகள் இரண்டாலும் அவற்றைக் கண்டறிவது கடினமாகிறது. தீம்பொருளின் ஏய்ப்பு உத்தியில் உள்ள இந்தப் புதுப்பிப்பு, பாதுகாப்பு நடவடிக்கைகளைத் தவிர்ப்பதற்கான அச்சுறுத்தல் நடிகர்களின் முறைகளில் தெளிவான பரிணாம வளர்ச்சியைக் காட்டுகிறது.
டெவலப்பர் கருவிகளாக மாறுவேடமிடும் தீங்கிழைக்கும் தொகுப்புகள்
தீங்கிழைக்கும் npm தொகுப்புகள் அகற்றப்படுவதற்கு முன்பு 5,600 முறைக்கு மேல் பதிவிறக்கம் செய்யப்பட்டன. சில ஆபத்தான தொகுப்புகளில் empty-array-validator, twitterapis, dev-debugger-vite, snore-log, core-pino, events-utils, icloud-cod, cln-logger, node-clog, consolidate-log, மற்றும் consolidate-logger ஆகியவை அடங்கும். இந்த தொகுப்புகள் முறையான பயன்பாடுகள் அல்லது பிழைத்திருத்திகளாக மாறுவேடமிடும் நோக்கம் கொண்டவை, ஆனால் உண்மையில் அவை தீங்கிழைக்கும் பேலோடுகளைச் சுமந்து செல்கின்றன.
போலி வேலை நேர்காணல்கள் மூலம் தரவுகளைத் திருடுதல்
ஒரு மாதத்திற்கு முன்பு நடந்த இதேபோன்ற சம்பவத்தைத் தொடர்ந்து இந்த வெளிப்பாடும் நிகழ்ந்தது. அப்போது ஆறு npm தொகுப்புகள் BeaverTail ஐப் பரப்பி, ஜாவாஸ்கிரிப்ட் திருடரான InvisibleFerret எனப்படும் பைதான் அடிப்படையிலான பின்கதவை வழங்கியது கண்டுபிடிக்கப்பட்டது. இந்தத் தாக்குதல்களின் இறுதி இலக்கு, வேலை நேர்காணல் செயல்முறைகள் என்ற போர்வையில் டெவலப்பர் அமைப்புகளுக்குள் ஊடுருவுவதாகும். உள்ளே நுழைந்ததும், தீம்பொருள் முக்கியமான தகவல்களைத் திருடுகிறது, நிதி சொத்துக்களை திருடுகிறது மற்றும் ஹேக்கர்கள் சமரசம் செய்யப்பட்ட அமைப்புகளுக்கு தொடர்ந்து அணுகலைப் பராமரிக்க அனுமதிக்கிறது.
லாசரஸ் குழுமம் மற்றும் பாண்டம் சர்க்யூட் பிரச்சாரத்திற்கான இணைப்புகள்
ஒரு குறிப்பிடத்தக்க தொகுப்பு, dev-debugger-vite, டிசம்பர் 2024 இல் நடந்த Phantom Circuit என்ற பிரச்சாரத்தில் Lazarus குழுமத்துடன் தொடர்புடையதாக SecurityScorecard ஆல் முன்னர் கொடியிடப்பட்ட கட்டளை மற்றும் கட்டுப்பாடு (C2) முகவரியைப் பயன்படுத்தியது. events-utils மற்றும் icloud-cod போன்ற பிற தொகுப்புகள், முந்தைய பிரச்சாரங்களில் காணப்படும் வழக்கமான GitHub இலக்குகளிலிருந்து வேறுபட்டு, Bitbucket களஞ்சியங்களுடன் இணைக்கப்பட்டிருப்பது கண்டறியப்பட்டது. icloud-cod தொகுப்பில் காணப்படும் "eiwork_hire" கோப்பகத்துடன் இந்த மாற்றம், தாக்குபவர்கள் தொற்றுநோயைச் செயல்படுத்த வேலை நேர்காணல் தொடர்பான தந்திரோபாயங்களைத் தொடர்ந்து பயன்படுத்துவதைக் குறிக்கிறது.
தொற்று வெற்றியை அதிகரிக்க பல வகைகள்
cln-logger, node-clog, consolidate-log, மற்றும் consolidate-logger உள்ளிட்ட சில தொகுப்புகளின் பகுப்பாய்வில், குறியீட்டில் சிறிய வேறுபாடுகள் இருப்பது தெரியவந்தது. இந்த மாற்றங்கள் அச்சுறுத்தல் செய்பவர்கள் பல தீம்பொருள் வகைகளைப் பயன்படுத்துவதன் மூலம் தங்கள் பிரச்சாரத்தின் வெற்றி விகிதத்தை அதிகரிக்க முயற்சிப்பதைக் குறிக்கின்றன. இந்த வேறுபாடுகள் இருந்தபோதிலும், இந்த நான்கு தொகுப்புகளிலும் உள்ள உட்பொதிக்கப்பட்ட குறியீடு தொலை சேவையகங்களிலிருந்து கூடுதல் பேலோடுகளைப் பெற்று செயல்படுத்தும் திறன் கொண்ட RAT ஏற்றியாக செயல்படுகிறது. இந்த கட்டத்தில், ஏற்றப்படும் தீம்பொருளின் சரியான தன்மை தெளிவாக இல்லை, ஏனெனில் ஆராய்ச்சியாளர்கள் ஆய்வு செய்தபோது C2 எண்ட்பாயிண்ட்கள் இனி பேலோடுகளுக்கு சேவை செய்யவில்லை.
பாதிக்கப்பட்ட அமைப்புகளின் தொலை கட்டுப்பாட்டை RAT ஏற்றி இயக்குகிறது.
பாய்சென்கோ, தீங்கிழைக்கும் குறியீட்டை RAT திறன்களைக் கொண்ட ஒரு செயலில் உள்ள ஏற்றி என்று விவரித்தார், eval() ஐப் பயன்படுத்தி தொலைதூர ஜாவாஸ்கிரிப்டைப் பெற்று இயக்கினார். இந்த முறை தாக்குபவர்கள் தாங்கள் விரும்பும் எந்தவொரு பின்தொடர்தல் தீம்பொருளையும் பயன்படுத்த அனுமதிக்கிறது, இதனால் RAT ஏற்றி ஒரு குறிப்பிடத்தக்க அச்சுறுத்தலாக அமைகிறது.
தொற்றும் நேர்காணல் பிரச்சாரம் மெதுவாக இருப்பதற்கான எந்த அறிகுறிகளையும் காட்டவில்லை
இந்த கண்டுபிடிப்புகள் Contagious Interview பிரச்சாரத்தின் நிலைத்தன்மையை வலியுறுத்துகின்றன. தாக்குதல் நடத்தியவர்கள் வேகத்தைக் குறைப்பதற்கான எந்த அறிகுறிகளையும் காட்டவில்லை, புதிய npm கணக்குகளை உருவாக்குவதையும், npm, GitHub மற்றும் Bitbucket போன்ற பல்வேறு தளங்களில் தீங்கிழைக்கும் குறியீட்டைப் பயன்படுத்துவதையும் தொடர்கின்றனர். அவர்கள் தங்கள் தந்திரோபாயங்களையும் பன்முகப்படுத்தியுள்ளனர், புதிய மால்வேரை வெவ்வேறு மாற்றுப்பெயர்களின் கீழ் வெளியிடுகின்றனர், களஞ்சியங்களின் கலவையைப் பயன்படுத்துகின்றனர், மேலும் புதிய RAT/loader வகைகளுடன் BeaverTail மற்றும் InvisibleFerret போன்ற நன்கு அறியப்பட்ட மால்வேர் வகைகளைப் பயன்படுத்துகின்றனர்.
டெவலப்பர்களால் குறிவைக்கப்பட்ட ஃபிஷிங் தாக்குதல்களில் டிராபிடூர் தீம்பொருள் வெளிப்படுகிறது.
இதற்கிடையில், தென் கொரிய சைபர் பாதுகாப்பு நிறுவனமான AhnLab சமீபத்தில் பிரச்சாரத்தின் மற்றொரு அம்சத்தை வெளிப்படுத்தியுள்ளது. BeaverTail ஐ வழங்கும் ஆட்சேர்ப்பு-கருப்பொருள் ஃபிஷிங் தாக்குதலை அவர்கள் அடையாளம் கண்டுள்ளனர், இது பின்னர் Tropidoor எனப்படும் முன்னர் ஆவணப்படுத்தப்படாத Windows பின்கதவை பயன்படுத்தப் பயன்படுகிறது. Bitbucket இல் ஹோஸ்ட் செய்யப்பட்ட npm நூலகம் வழியாக வழங்கப்படும் இந்த பின்கதவு, பரந்த அளவிலான தீங்கிழைக்கும் செயல்களைச் செய்யும் திறன் கொண்டது. Tropidoor கோப்புகளை வெளியேற்றலாம், டிரைவ்கள் மற்றும் கோப்புகள் பற்றிய தகவல்களை சேகரிக்கலாம், செயல்முறைகளை இயக்கலாம், ஸ்கிரீன் ஷாட்களைப் பிடிக்கலாம் மற்றும் NULL அல்லது குப்பைத் தரவைக் கொண்டு கோப்புகளை நீக்கலாம் அல்லது மேலெழுதலாம்.
மேம்பட்ட திறன்கள் அறியப்பட்ட லாசரஸ் தீம்பொருளுக்கான இணைப்பை பரிந்துரைக்கின்றன.
AhnLab இன் பகுப்பாய்வில், Tropidoor ஒரு பதிவிறக்கி மூலம் நினைவகத்தில் இயங்குகிறது மற்றும் வழிமுறைகளைப் பெற C2 சேவையகத்தைத் தொடர்பு கொள்கிறது என்பதைக் கண்டறிந்துள்ளது. இந்த தீம்பொருள் நேரடியாக schtasks, ping மற்றும் reg போன்ற விண்டோஸ் கட்டளைகளைப் பயன்படுத்துகிறது, இவை LightlessCan போன்ற பிற Lazarus Group தீம்பொருளிலும் காணப்படுகின்றன. இந்த இணைப்பு தற்போதைய செயல்பாட்டை வட கொரிய குழுவுடன் மேலும் இணைக்கிறது, இது அதிநவீன சைபர் உளவு தந்திரங்களைப் பயன்படுத்துவதற்குப் பெயர் பெற்றதாகும்.
விநியோகச் சங்கிலித் தாக்குதல்களுக்கு எதிராக விழிப்புடன் இருக்க டெவலப்பர்களை வலியுறுத்துகிறது
சமீபத்திய வெளிப்பாடுகள், லாசரஸ் குழுமம் மற்றும் பிற APT நடிகர்களால் முன்வைக்கப்படும் தொடர்ச்சியான அச்சுறுத்தலை அடிக்கோடிட்டுக் காட்டுகின்றன. டெவலப்பர்களும் பயனர்களும் அறியப்படாத அல்லது சந்தேகத்திற்கிடமான மூலங்களிலிருந்து தொகுப்புகளைப் பதிவிறக்கும்போதோ அல்லது கோப்புகளைத் திறக்கும்போதோ எச்சரிக்கையாக இருக்க வேண்டும். இந்தத் தாக்குதல்கள் தொடர்ந்து உருவாகி வருவதால், ஃபிஷிங் பிரச்சாரங்களுக்கு எதிராக விழிப்புடன் இருப்பதும், தீங்கிழைக்கும் குறியீட்டிற்கான சார்புகளை ஆய்வு செய்வதும், முக்கியமான தகவல்கள் தவறான கைகளில் சிக்காமல் பாதுகாப்பதில் மிக முக்கியமானவை.