แฮกเกอร์เกาหลีเหนือแพร่กระจายมัลแวร์ BeaverTail ผ่านแพ็คเกจ npm ที่เป็นอันตราย
การโจมตีระลอกใหม่จากแฮกเกอร์จากเกาหลีเหนือได้เกิดขึ้นแล้ว โดยมุ่งเป้าไปที่ชุมชนนักพัฒนาซอฟต์แวร์ผ่านแพ็กเกจ npm ที่เป็นอันตราย แพ็กเกจเหล่านี้ซึ่งเกี่ยวข้องกับแคมเปญ Contagious Interview ที่กำลังดำเนินอยู่ ได้รับ การออกแบบมาเพื่อส่งมัลแวร์ BeaverTail รวมถึงตัวโหลดโทรจันการเข้าถึงระยะไกล (RAT) ที่เพิ่งค้นพบใหม่ แคมเปญนี้เป็นส่วนหนึ่งของความพยายามที่กว้างขึ้นของกลุ่ม Lazarus เพื่อแทรกซึมระบบ ขโมยข้อมูลที่ละเอียดอ่อน และรักษาการเข้าถึงอุปกรณ์ที่ถูกบุกรุกในระยะยาว
สารบัญ
เทคนิคการบดบังที่ใช้เพื่อหลีกเลี่ยงการตรวจจับ
Kirill Boychenko นักวิจัยด้านความปลอดภัยของ Socket กล่าวว่าตัวอย่างล่าสุดเหล่านี้ใช้การเข้ารหัสสตริงเลขฐานสิบหกเป็นเทคนิคในการบดบัง ทำให้ยากต่อการตรวจจับทั้งจากระบบอัตโนมัติและการตรวจสอบโค้ดด้วยตนเอง การอัปเดตกลยุทธ์การหลีกเลี่ยงมัลแวร์นี้แสดงให้เห็นถึงวิวัฒนาการที่ชัดเจนในวิธีการหลบเลี่ยงมาตรการรักษาความปลอดภัยของผู้ก่อภัยคุกคาม
แพ็คเกจอันตรายแอบอ้างเป็นเครื่องมือสำหรับนักพัฒนา
แพ็กเกจ npm ที่เป็นอันตรายถูกดาวน์โหลดมากกว่า 5,600 ครั้งก่อนที่จะถูกลบออก แพ็กเกจอันตรายบางส่วนได้แก่ empty-array-validator, twitterapis, dev-debugger-vite, snore-log, core-pino, events-utils, icloud-cod, cln-logger, node-clog, consolidate-log และ consolidate-logger แพ็กเกจเหล่านี้มีจุดประสงค์เพื่อแอบอ้างว่าเป็นยูทิลิตี้หรือโปรแกรมดีบักเกอร์ที่ถูกต้องตามกฎหมาย แต่ในความเป็นจริงกลับมีเพย์โหลดที่เป็นอันตราย
การขโมยข้อมูลผ่านการสัมภาษณ์งานปลอม
การเปิดเผยนี้เกิดขึ้นหลังจากเหตุการณ์ที่คล้ายกันซึ่งเกิดขึ้นเมื่อหนึ่งเดือนก่อน เมื่อพบแพ็กเกจ npm จำนวน 6 รายการซึ่งแพร่กระจาย BeaverTail ซึ่งเป็นโปรแกรมขโมย JavaScript ที่สร้างแบ็คดอร์ที่ใช้ Python ชื่อว่า InvisibleFerret เป้าหมายสูงสุดของการโจมตีเหล่านี้คือการแทรกซึมเข้าไปในระบบของนักพัฒนาซอฟต์แวร์ภายใต้หน้ากากของกระบวนการสัมภาษณ์งาน เมื่อเข้าไปแล้ว มัลแวร์จะขโมยข้อมูลที่ละเอียดอ่อน ดูดทรัพย์สินทางการเงิน และอนุญาตให้แฮกเกอร์เข้าถึงระบบที่ถูกบุกรุกได้อย่างต่อเนื่อง
ลิงค์ไปยังกลุ่ม Lazarus และแคมเปญ Phantom Circuit
แพ็คเกจที่น่าสนใจหนึ่งตัวคือ dev-debugger-vite ซึ่งใช้ที่อยู่คำสั่งและการควบคุม (C2) ซึ่ง SecurityScorecard ระบุไว้ก่อนหน้านี้ว่าเชื่อมโยงกับกลุ่ม Lazarus ในแคมเปญที่มีชื่อว่า Phantom Circuit ซึ่งเกิดขึ้นในเดือนธันวาคม 2024 แพ็คเกจอื่นๆ เช่น events-utils และ icloud-cod พบว่าเชื่อมโยงกับที่เก็บ Bitbucket ซึ่งแตกต่างจากเป้าหมาย GitHub ทั่วไปที่พบในแคมเปญก่อนหน้านี้ การเปลี่ยนแปลงนี้พร้อมกับไดเร็กทอรี "eiwork_hire" ที่พบในแพ็คเกจ icloud-cod บ่งชี้ว่าผู้โจมตียังคงใช้กลวิธีที่เกี่ยวข้องกับการสัมภาษณ์งานเพื่อเปิดใช้งานการติดเชื้อ
หลากหลายรูปแบบเพื่อเพิ่มโอกาสประสบความสำเร็จในการติดเชื้อ
การวิเคราะห์แพ็คเกจบางส่วน เช่น cln-logger, node-clog, consolidate-log และ consolidate-logger เผยให้เห็นความแตกต่างเล็กน้อยในโค้ด การเปลี่ยนแปลงเหล่านี้บ่งชี้ว่าผู้ก่อภัยคุกคามกำลังพยายามเพิ่มอัตราความสำเร็จของแคมเปญของตนโดยการใช้มัลแวร์หลายรูปแบบ แม้จะมีความแตกต่างเหล่านี้ แต่โค้ดที่ฝังอยู่ในแพ็คเกจทั้งสี่นี้ทำงานเป็นตัวโหลด RAT ที่สามารถดึงและเรียกใช้เพย์โหลดเพิ่มเติมจากเซิร์ฟเวอร์ระยะไกลได้ ในขั้นตอนนี้ ลักษณะที่แน่นอนของมัลแวร์ที่ถูกโหลดยังคงไม่ชัดเจน เนื่องจากปลายทาง C2 ไม่ได้ให้บริการเพย์โหลดอีกต่อไปเมื่อนักวิจัยตรวจสอบ
RAT Loader ช่วยให้สามารถควบคุมระบบที่ติดไวรัสจากระยะไกลได้
Boychenko อธิบายโค้ดที่เป็นอันตรายว่าเป็นตัวโหลดที่ทำงานอยู่ตลอดเวลาพร้อมความสามารถ RAT โดยใช้ eval() เพื่อดึงข้อมูลและเรียกใช้ JavaScript จากระยะไกล วิธีนี้ทำให้ผู้โจมตีสามารถติดตั้งมัลแวร์ตัวติดตามใดๆ ก็ได้ตามที่ต้องการ ทำให้ตัวโหลด RAT กลายเป็นภัยคุกคามที่สำคัญในตัวเอง
แคมเปญสัมภาษณ์ที่แพร่ระบาดไม่มีทีท่าว่าจะชะลอตัวลง
ผลการวิจัยนี้เน้นย้ำถึงความต่อเนื่องของแคมเปญ Contagious Interview ผู้โจมตีไม่มีทีท่าว่าจะชะลอตัวลงเลย โดยยังคงสร้างบัญชี npm ใหม่ และเผยแพร่โค้ดที่เป็นอันตรายบนแพลตฟอร์มต่างๆ เช่น npm, GitHub และ Bitbucket นอกจากนี้ พวกเขายังได้กระจายกลยุทธ์ของตนด้วยการเผยแพร่มัลแวร์ใหม่ภายใต้ชื่ออื่น ใช้คลังข้อมูลแบบผสมผสาน และใช้มัลแวร์ที่เป็นที่รู้จักดี เช่น BeaverTail และ InvisibleFerret ร่วมกับ RAT/loader รุ่นใหม่
มัลแวร์ Tropidoor โผล่ในโปรแกรมโจมตีฟิชชิ่งที่มุ่งเป้าไปที่นักพัฒนา
ในขณะเดียวกัน บริษัทรักษาความปลอดภัยทางไซเบอร์ของเกาหลีใต้ AhnLab ได้เปิดเผยแง่มุมอื่นของแคมเปญดังกล่าวเมื่อไม่นานมานี้ โดยระบุถึงการโจมตีแบบฟิชชิ่งที่มีธีมเกี่ยวกับการรับสมัคร ซึ่งส่ง BeaverTail เข้ามา ซึ่งจากนั้นจะนำไปใช้เพื่อติดตั้งแบ็คดอร์ของ Windows ที่ยังไม่มีการบันทึกมาก่อนที่เรียกว่า Tropidoor แบ็คดอร์นี้ซึ่งส่งผ่านไลบรารี npm ที่โฮสต์บน Bitbucket สามารถดำเนินการที่เป็นอันตรายได้หลากหลายรูปแบบ Tropidoor สามารถแยกไฟล์ รวบรวมข้อมูลเกี่ยวกับไดรฟ์และไฟล์ เรียกใช้กระบวนการ จับภาพหน้าจอ และแม้แต่ลบหรือเขียนทับไฟล์ที่มีข้อมูลว่างหรือข้อมูลขยะ
ความสามารถขั้นสูงแนะนำลิงก์ไปยังมัลแวร์ Lazarus ที่รู้จัก
จากการวิเคราะห์ของ AhnLab พบว่า Tropidoor ทำงานในหน่วยความจำผ่านตัวดาวน์โหลดและติดต่อกับเซิร์ฟเวอร์ C2 เพื่อรับคำสั่ง มัลแวร์ใช้คำสั่งของ Windows โดยตรง เช่น schtasks, ping และ reg ซึ่งพบในมัลแวร์อื่นๆ ของ Lazarus Group เช่น LightlessCan การเชื่อมต่อนี้ยังเชื่อมโยงกิจกรรมปัจจุบันกับกลุ่มดังกล่าวในเกาหลีเหนือ ซึ่งมีชื่อเสียงในด้านการใช้ กลวิธีจารกรรมทางไซเบอร์ที่ซับซ้อน
นักพัฒนาถูกกระตุ้นให้เฝ้าระวังการโจมตีห่วงโซ่อุปทาน
การเปิดเผยข้อมูลล่าสุดเน้นย้ำถึงภัยคุกคามที่เกิดขึ้นอย่างต่อเนื่องจากกลุ่ม Lazarus และกลุ่ม APT อื่นๆ ทั้งนักพัฒนาและผู้ใช้ต้องใช้ความระมัดระวังในการดาวน์โหลดแพ็คเกจหรือเปิดไฟล์จากแหล่งที่ไม่รู้จักหรือแหล่งที่น่าสงสัย เนื่องจากการโจมตีเหล่านี้ยังคงพัฒนาอย่างต่อเนื่อง การเฝ้าระวังแคมเปญฟิชชิ่งและการตรวจสอบการอ้างอิงสำหรับโค้ดที่เป็นอันตรายจึงมีความสำคัญอย่างยิ่งในการปกป้องข้อมูลที่ละเอียดอ่อนไม่ให้ตกไปอยู่ในมือของผู้ที่ไม่เหมาะสม