Ang mga Hacker ng North Korea ay nagkalat ng BeaverTail Malware Sa pamamagitan ng Mga Nakakahamak na npm Package

Lumitaw ang isang bagong alon ng mga pag-atake mula sa mga hacker ng North Korea, na nagta-target sa komunidad ng software development sa pamamagitan ng mga nakakahamak na npm packages. Ang mga package na ito, na nauugnay sa patuloy na kampanya ng Contagious Interview, ay idinisenyo upang maihatid ang BeaverTail malware , pati na rin ang isang bagong natuklasang remote access trojan (RAT) loader. Ang campaign na ito ay bahagi ng mas malawak na pagsisikap ng Lazarus Group na makalusot sa mga system, magnakaw ng sensitibong data, at mapanatili ang pangmatagalang access sa mga nakompromisong device.

Mga Obfuscation Technique na Ginamit para Umiwas sa Detection

Ayon sa Socket security researcher na si Kirill Boychenko, ang mga pinakabagong sample na ito ay gumagamit ng hexadecimal string encoding bilang isang obfuscation technique, na ginagawang mas mahirap itong matukoy ng parehong mga automated system at manu-manong pag-audit ng code. Ang pag-update na ito sa diskarte sa pag-iwas ng malware ay nagpapakita ng isang malinaw na ebolusyon sa mga paraan ng pagbabanta ng mga aktor upang laktawan ang mga hakbang sa seguridad.

Mga Nakakahamak na Package na Nagpapanggap bilang Mga Tool ng Developer

Ang mga nakakahamak na npm package ay na-download nang higit sa 5,600 beses bago sila inalis. Kasama sa ilan sa mga mapanganib na pakete ang empty-array-validator, twitterapis, dev-debugger-vite, snore-log, core-pino, events-utils, icloud-cod, cln-logger, node-clog, consolidate-log, at consolidate-logger. Ang mga paketeng ito ay nilayon na magpanggap bilang mga lehitimong utility o debugger ngunit sa katunayan ay nagdadala ng mga nakakahamak na payload.

Pagnanakaw ng Data sa Pamamagitan ng Mga Pekeng Panayam sa Trabaho

Ang pagbubunyag na ito ay kasunod ng isang katulad na insidente na naganap noong nakaraang buwan nang matuklasan ang anim na npm na pakete na kumakalat ng BeaverTail, isang JavaScript stealer na naghatid din ng Python-based na backdoor na tinatawag na InvisibleFerret. Ang pinakalayunin ng mga pag-atake na ito ay ang makalusot sa mga sistema ng developer sa ilalim ng pagkukunwari ng mga proseso ng pakikipanayam sa trabaho. Sa sandaling pumasok, ang malware ay nagnanakaw ng sensitibong impormasyon, sumipsip ng mga pinansyal na asset, at nagbibigay-daan sa mga hacker na mapanatili ang patuloy na pag-access sa mga nakompromisong system.

Mga link sa Lazarus Group at Phantom Circuit Campaign

Isang kapansin-pansing package, dev-debugger-vite, ang gumamit ng command-and-control (C2) na address na dati nang na-flag ng SecurityScorecard bilang nauugnay sa Lazarus Group sa isang campaign na pinangalanang Phantom Circuit, na naganap noong Disyembre 2024. Ang iba pang mga package, gaya ng mga event-utils at icloud-cod, ay nakitang naka-link sa nakasanayang pag-reposito ng Bitbucket, mula sa nakasanayang pag-reposito ng Bitbucket. mga kampanya. Ang shift na ito, kasama ang "eiwork_hire" na direktoryo na makikita sa loob ng icloud-cod package, ay nagpapahiwatig na ang mga umaatake ay patuloy na gumagamit ng mga taktika na nauugnay sa pakikipanayam sa trabaho upang i-activate ang impeksiyon.

Maramihang Mga Variant para I-maximize ang Tagumpay sa Impeksyon

Isang pagsusuri ng ilan sa mga pakete, kabilang ang cln-logger, node-clog, consolidated-log, at consolidated-logger, ay nagsiwalat ng maliliit na variation sa code. Iminumungkahi ng mga pagbabagong ito na sinusubukan ng mga banta ng aktor na pataasin ang rate ng tagumpay ng kanilang campaign sa pamamagitan ng pag-deploy ng maraming variant ng malware. Sa kabila ng mga pagkakaibang ito, ang naka-embed na code sa apat na paketeng ito ay gumagana bilang isang RAT loader na may kakayahang kumuha at magsagawa ng mga karagdagang payload mula sa mga malalayong server. Sa yugtong ito, nananatiling hindi malinaw ang eksaktong katangian ng malware na nilo-load, dahil hindi na naghahatid ng mga payload ang mga endpoint ng C2 noong nag-imbestiga ang mga mananaliksik.

Pinapagana ng RAT Loader ang Remote Control ng mga Infected System

Inilarawan ni Boychenko ang malisyosong code bilang isang aktibong loader na may mga kakayahan sa RAT, gamit ang eval() upang kunin at patakbuhin ang malayuang JavaScript. Ang pamamaraang ito ay nagbibigay-daan sa mga umaatake na mag-deploy ng anumang follow-up na malware na kanilang pinili, na ginagawang ang RAT loader ay isang malaking banta sa sarili nito.

Ang Nakakahawang Kampanya sa Panayam ay Hindi Nagpapakita ng Mga Palatandaan ng Pagbagal

Binibigyang-diin ng mga natuklasang ito ang pagpapatuloy ng kampanyang Nakakahawa na Panayam. Ang mga umaatake ay hindi nagpakita ng mga palatandaan ng pagbagal, patuloy na lumikha ng mga bagong npm account at nag-deploy ng malisyosong code sa iba't ibang platform tulad ng npm, GitHub, at Bitbucket. Pinag-iba rin nila ang kanilang mga taktika, nag-publish ng bagong malware sa ilalim ng iba't ibang alyas, gamit ang isang halo ng mga repositoryo, at ginagamit ang mga kilalang variant ng malware tulad ng BeaverTail at InvisibleFerret kasama ng mga mas bagong variant ng RAT/loader.

Lumilitaw ang Tropidoor Malware sa Mga Pag-atake sa Phishing na Naka-target sa Developer

Samantala, natuklasan kamakailan ng kumpanya ng cybersecurity ng South Korea na AhnLab ang isa pang aspeto ng kampanya. Natukoy nila ang isang recruitment-themed phishing attack na naghahatid ng BeaverTail, na pagkatapos ay ginagamit upang mag-deploy ng dati nang hindi dokumentado na backdoor ng Windows na tinatawag na Tropidoor. Ang backdoor na ito, na inihatid sa pamamagitan ng npm library na naka-host sa Bitbucket, ay may kakayahang magsagawa ng malawak na hanay ng mga malisyosong pagkilos. Maaaring i-exfiltrate ng Tropidoor ang mga file, mangalap ng impormasyon tungkol sa mga drive at file, magpatakbo ng mga proseso, kumuha ng mga screenshot, at magtanggal o mag-overwrite ng mga file na may NULL o junk na data.

Ang Mga Advanced na Kakayahang Nagmumungkahi ng Link sa Kilalang Lazarus Malware

Nalaman ng pagsusuri ng AhnLab na ang Tropidoor ay gumagana sa memorya sa pamamagitan ng isang downloader at nakikipag-ugnayan sa isang C2 server upang makatanggap ng mga tagubilin. Direktang gumagamit ang malware ng mga Windows command gaya ng schtasks, ping, at reg, na naobserbahan din sa ibang Lazarus Group malware, gaya ng LightlessCan. Ang koneksyon na ito ay higit na nag-uugnay sa kasalukuyang aktibidad sa North Korean group, na sikat sa paggamit nito ng mga sopistikadong taktika sa cyber espionage .

Hinimok ang Mga Developer na Manatiling Maingat laban sa Mga Pag-atake sa Supply Chain

Ang mga pinakahuling paghahayag ay binibigyang-diin ang patuloy na pagbabanta ng Lazarus Group at iba pang aktor ng APT. Kailangang mag-ingat ang mga developer at user kapag nagda-download ng mga package o nagbubukas ng mga file mula sa hindi kilalang o kahina-hinalang pinagmulan. Habang patuloy na umuunlad ang mga pag-atakeng ito, ang pananatiling mapagbantay laban sa mga kampanyang phishing at pagsisiyasat ng mga dependency para sa malisyosong code ay napakahalaga sa pagprotekta sa sensitibong impormasyon mula sa pagkahulog sa mga maling kamay.