ఉత్తర కొరియా హ్యాకర్లు హానికరమైన npm ప్యాకేజీల ద్వారా బీవర్టెయిల్ మాల్వేర్ను వ్యాప్తి చేశారు.
ఉత్తర కొరియా హ్యాకర్ల నుండి కొత్త దాడులు మొదలయ్యాయి, ఇవి హానికరమైన npm ప్యాకేజీల ద్వారా సాఫ్ట్వేర్ డెవలప్మెంట్ కమ్యూనిటీని లక్ష్యంగా చేసుకున్నాయి. కొనసాగుతున్న కాంటాజియస్ ఇంటర్వ్యూ ప్రచారంతో అనుబంధించబడిన ఈ ప్యాకేజీలు, బీవర్టెయిల్ మాల్వేర్ను, అలాగే కొత్తగా కనుగొనబడిన రిమోట్ యాక్సెస్ ట్రోజన్ (RAT) లోడర్ను అందించడానికి రూపొందించబడ్డాయి . ఈ ప్రచారం వ్యవస్థల్లోకి చొరబడటానికి, సున్నితమైన డేటాను దొంగిలించడానికి మరియు రాజీపడిన పరికరాలకు దీర్ఘకాలిక ప్రాప్యతను నిర్వహించడానికి లాజరస్ గ్రూప్ చేసిన విస్తృత ప్రయత్నంలో భాగం.
విషయ సూచిక
గుర్తింపును తప్పించుకోవడానికి ఉపయోగించే అస్పష్టత పద్ధతులు
సాకెట్ భద్రతా పరిశోధకుడు కిరిల్ బాయ్చెంకో ప్రకారం, ఈ తాజా నమూనాలు హెక్సాడెసిమల్ స్ట్రింగ్ ఎన్కోడింగ్ను అస్పష్టత సాంకేతికతగా ఉపయోగిస్తున్నాయి, దీనివల్ల ఆటోమేటెడ్ సిస్టమ్లు మరియు మాన్యువల్ కోడ్ ఆడిట్లు రెండింటి ద్వారా వాటిని గుర్తించడం కష్టమవుతుంది. మాల్వేర్ యొక్క ఎగవేత వ్యూహంలోని ఈ నవీకరణ భద్రతా చర్యలను దాటవేయడానికి ముప్పు నటుల పద్ధతుల్లో స్పష్టమైన పరిణామాన్ని చూపుతుంది.
డెవలపర్ సాధనాలుగా మారుతున్న హానికరమైన ప్యాకేజీలు
హానికరమైన npm ప్యాకేజీలు తీసివేయబడటానికి ముందు 5,600 సార్లు డౌన్లోడ్ చేయబడ్డాయి. కొన్ని ప్రమాదకరమైన ప్యాకేజీలలో ఖాళీ-శ్రేణి-వాలిడేటర్, ట్విట్టర్పిస్, డెవ్-డీబగ్గర్-వైట్, స్నోర్-లాగ్, కోర్-పినో, ఈవెంట్స్-యుటిల్స్, ఐక్లౌడ్-కాడ్, క్లన్-లాగర్, నోడ్-క్లాగ్, కన్సాలిడేటెడ్-లాగ్ మరియు కన్సాలిడేటెడ్-లాగర్ ఉన్నాయి. ఈ ప్యాకేజీలు చట్టబద్ధమైన యుటిలిటీలు లేదా డీబగ్గర్లుగా మారడానికి ఉద్దేశించబడ్డాయి కానీ వాస్తవానికి అవి హానికరమైన పేలోడ్లను మోస్తున్నాయి.
నకిలీ ఉద్యోగ ఇంటర్వ్యూల ద్వారా డేటాను దొంగిలించడం
ఈ బహిర్గతం ఒక నెల క్రితం జరిగిన ఇలాంటి సంఘటన తర్వాత జరిగింది, ఆరు npm ప్యాకేజీలు BeaverTail ను వ్యాప్తి చేస్తున్నట్లు కనుగొనబడ్డాయి, ఇది జావాస్క్రిప్ట్ స్టీలర్, ఇది InvisibleFerret అనే పైథాన్ ఆధారిత బ్యాక్డోర్ను కూడా అందించింది. ఈ దాడుల యొక్క అంతిమ లక్ష్యం ఉద్యోగ ఇంటర్వ్యూ ప్రక్రియల ముసుగులో డెవలపర్ సిస్టమ్లలోకి చొరబడటం. ఒకసారి ప్రవేశించిన తర్వాత, మాల్వేర్ సున్నితమైన సమాచారాన్ని దొంగిలిస్తుంది, ఆర్థిక ఆస్తులను దొంగిలిస్తుంది మరియు హ్యాకర్లు రాజీపడిన సిస్టమ్లకు నిరంతర ప్రాప్యతను కొనసాగించడానికి అనుమతిస్తుంది.
లాజరస్ గ్రూప్ మరియు ఫాంటమ్ సర్క్యూట్ ప్రచారానికి లింకులు
ఒక ముఖ్యమైన ప్యాకేజీ, dev-debugger-vite, డిసెంబర్ 2024లో జరిగిన Phantom Circuit అనే ప్రచారంలో Lazarus గ్రూప్తో అనుబంధించబడినట్లు SecurityScorecard ద్వారా గతంలో ఫ్లాగ్ చేయబడిన కమాండ్-అండ్-కంట్రోల్ (C2) చిరునామాను ఉపయోగించింది. ఈవెంట్స్-యుటిల్స్ మరియు ఐక్లౌడ్-కాడ్ వంటి ఇతర ప్యాకేజీలు, మునుపటి ప్రచారాలలో కనిపించే సాధారణ GitHub లక్ష్యాల నుండి భిన్నంగా, బిట్బకెట్ రిపోజిటరీలకు లింక్ చేయబడినట్లు కనుగొనబడ్డాయి. ఐక్లౌడ్-కాడ్ ప్యాకేజీలో కనిపించే "eiwork_hire" డైరెక్టరీతో పాటు ఈ మార్పు, దాడి చేసేవారు ఇన్ఫెక్షన్ను సక్రియం చేయడానికి ఉద్యోగ ఇంటర్వ్యూ-సంబంధిత వ్యూహాలను ఉపయోగించడం కొనసాగిస్తున్నారని సూచిస్తుంది.
ఇన్ఫెక్షన్ విజయాన్ని పెంచడానికి బహుళ వైవిధ్యాలు
cln-logger, node-clog, consolidate-log, మరియు consolidate-logger వంటి కొన్ని ప్యాకేజీల విశ్లేషణలో కోడ్లో చిన్న వైవిధ్యాలు బయటపడ్డాయి. ఈ మార్పులు బెదిరింపు నటులు బహుళ మాల్వేర్ వేరియంట్లను అమలు చేయడం ద్వారా వారి ప్రచారం యొక్క విజయ రేటును పెంచడానికి ప్రయత్నిస్తున్నారని సూచిస్తున్నాయి. ఈ తేడాలు ఉన్నప్పటికీ, ఈ నాలుగు ప్యాకేజీలలోని ఎంబెడెడ్ కోడ్ రిమోట్ సర్వర్ల నుండి అదనపు పేలోడ్లను పొందగల మరియు అమలు చేయగల RAT లోడర్గా పనిచేస్తుంది. ఈ దశలో, లోడ్ చేయబడుతున్న మాల్వేర్ యొక్క ఖచ్చితమైన స్వభావం అస్పష్టంగానే ఉంది, ఎందుకంటే పరిశోధకులు పరిశోధించినప్పుడు C2 ఎండ్ పాయింట్లు ఇకపై పేలోడ్లను అందించడం లేదు.
RAT లోడర్ సోకిన వ్యవస్థల రిమోట్ నియంత్రణను ప్రారంభిస్తుంది
బాయ్చెంకో ఈ హానికరమైన కోడ్ను RAT సామర్థ్యాలతో కూడిన యాక్టివ్ లోడర్గా అభివర్ణించారు, eval()ని ఉపయోగించి రిమోట్ జావాస్క్రిప్ట్ను పొంది అమలు చేశారు. ఈ పద్ధతి దాడి చేసేవారు తమకు నచ్చిన ఏదైనా ఫాలో-అప్ మాల్వేర్ను అమలు చేయడానికి అనుమతిస్తుంది, దీని వలన RAT లోడర్ ఒక ముఖ్యమైన ముప్పుగా మారుతుంది.
అంటువ్యాధి ఇంటర్వ్యూ ప్రచారం మందగించే సంకేతాలను చూపించదు
ఈ పరిశోధన ఫలితాలు కాంటాజియస్ ఇంటర్వ్యూ ప్రచారం యొక్క నిలకడను నొక్కి చెబుతున్నాయి. దాడి చేసేవారు నెమ్మదించే సంకేతాలను చూపించలేదు, కొత్త npm ఖాతాలను సృష్టించడం మరియు npm, GitHub మరియు Bitbucket వంటి వివిధ ప్లాట్ఫామ్లలో హానికరమైన కోడ్ను అమలు చేయడం కొనసాగించారు. వారు తమ వ్యూహాలను కూడా వైవిధ్యపరిచారు, కొత్త మాల్వేర్ను వివిధ మారుపేర్లతో ప్రచురించారు, రిపోజిటరీల మిశ్రమాన్ని ఉపయోగించారు మరియు కొత్త RAT/లోడర్ వేరియంట్లతో పాటు BeaverTail మరియు InvisibleFerret వంటి ప్రసిద్ధ మాల్వేర్ వేరియంట్లను ఉపయోగించారు.
డెవలపర్-లక్ష్యంగా చేసుకున్న ఫిషింగ్ దాడులలో ట్రోపిడోర్ మాల్వేర్ ఉద్భవించింది
ఇంతలో, దక్షిణ కొరియా సైబర్ సెక్యూరిటీ కంపెనీ అహ్న్ల్యాబ్ ఇటీవల ఈ ప్రచారంలోని మరో కోణాన్ని బయటపెట్టింది. వారు బీవర్టైల్ను అందించే రిక్రూట్మెంట్-నేపథ్య ఫిషింగ్ దాడిని గుర్తించారు, దీనిని ట్రోపిడోర్ అని పిలువబడే గతంలో నమోదు చేయని విండోస్ బ్యాక్డోర్ను అమలు చేయడానికి ఉపయోగిస్తారు. బిట్బకెట్లో హోస్ట్ చేయబడిన npm లైబ్రరీ ద్వారా డెలివరీ చేయబడిన ఈ బ్యాక్డోర్ విస్తృత శ్రేణి హానికరమైన చర్యలను చేయగలదు. ట్రోపిడోర్ ఫైల్లను ఎక్స్ఫిల్ట్రేట్ చేయగలదు, డ్రైవ్లు మరియు ఫైల్ల గురించి సమాచారాన్ని సేకరించగలదు, ప్రాసెస్లను అమలు చేయగలదు, స్క్రీన్షాట్లను సంగ్రహించగలదు మరియు NULL లేదా జంక్ డేటాతో ఫైల్లను తొలగించగలదు లేదా ఓవర్రైట్ చేయగలదు.
తెలిసిన లాజరస్ మాల్వేర్కు లింక్ను సూచించే అధునాతన సామర్థ్యాలు
AhnLab విశ్లేషణ ప్రకారం, Tropidoor ఒక డౌన్లోడ్ ద్వారా మెమరీలో పనిచేస్తుందని మరియు సూచనలను స్వీకరించడానికి C2 సర్వర్ను సంప్రదిస్తుందని తేలింది. ఈ మాల్వేర్ నేరుగా schtasks, ping మరియు reg వంటి Windows ఆదేశాలను ఉపయోగిస్తుంది, ఇవి LightlessCan వంటి ఇతర Lazarus Group మాల్వేర్లలో కూడా గమనించబడ్డాయి. ఈ కనెక్షన్ ప్రస్తుత కార్యాచరణను ఉత్తర కొరియా సమూహంతో మరింత ముడిపెడుతుంది, ఇది అధునాతన సైబర్ గూఢచర్య వ్యూహాల వినియోగానికి అపఖ్యాతి పాలైంది.
సరఫరా గొలుసు దాడుల పట్ల డెవలపర్లు అప్రమత్తంగా ఉండాలని కోరారు
తాజా వెల్లడి లాజరస్ గ్రూప్ మరియు ఇతర APT భాగస్వాముల నుండి కొనసాగుతున్న ముప్పును నొక్కి చెబుతుంది. డెవలపర్లు మరియు వినియోగదారులు తెలియని లేదా అనుమానాస్పద మూలాల నుండి ప్యాకేజీలను డౌన్లోడ్ చేసేటప్పుడు లేదా ఫైల్లను తెరిచేటప్పుడు జాగ్రత్తగా ఉండాలి. ఈ దాడులు అభివృద్ధి చెందుతున్నందున, ఫిషింగ్ ప్రచారాల పట్ల అప్రమత్తంగా ఉండటం మరియు హానికరమైన కోడ్ కోసం ఆధారపడటాన్ని తనిఖీ చేయడం సున్నితమైన సమాచారం తప్పుడు చేతుల్లోకి వెళ్లకుండా రక్షించడంలో చాలా ముఖ్యమైనది.