Північнокорейські хакери поширюють зловмисне програмне забезпечення BeaverTail через шкідливі пакети npm
Спливла нова хвиля атак з боку північнокорейських хакерів, націлених на спільноту розробників програмного забезпечення через шкідливі пакети npm. Ці пакети, пов’язані з поточною кампанією Contagious Interview, призначені для доставки зловмисного програмного забезпечення BeaverTail , а також нещодавно виявленого трояна віддаленого доступу (RAT). Ця кампанія є частиною ширших зусиль групи Lazarus щодо проникнення в системи, викрадення конфіденційних даних і підтримки довгострокового доступу до скомпрометованих пристроїв.
Зміст
Методи обфускації, що використовуються для ухилення від виявлення
За словами дослідника безпеки Socket Кирила Бойченка, ці останні зразки використовують шістнадцяткове кодування рядків як техніку обфускації, що ускладнює їх виявлення як автоматизованими системами, так і перевірками коду вручну. Це оновлення стратегії уникнення зловмисного програмного забезпечення демонструє чітку еволюцію методів обходу заходів безпеки суб’єктами загрози.
Шкідливі пакети, що маскуються під інструменти розробника
Шкідливі пакети npm були завантажені понад 5600 разів, перш ніж їх було видалено. Деякі з небезпечних пакетів включали empty-array-validator, twitterapis, dev-debugger-vite, snore-log, core-pino, events-utils, icloud-cod, cln-logger, node-clog, consolidate-log і consolidate-logger. Ці пакунки мали виглядати як законні утиліти чи налагоджувачі, але насправді несли зловмисне корисне навантаження.
Крадіжка даних через підроблені співбесіди
Це розкриття сталося після подібного інциденту, який стався місяцем раніше, коли було виявлено шість пакетів npm, які поширювали BeaverTail, викрадач JavaScript, який також створив бекдор на основі Python під назвою InvisibleFerret. Кінцевою метою цих атак є проникнення в системи розробників під виглядом процесів співбесіди. Потрапляючи всередину, зловмисне програмне забезпечення викрадає конфіденційну інформацію, перекачує фінансові активи та дозволяє хакерам підтримувати постійний доступ до скомпрометованих систем.
Посилання на Lazarus Group і кампанію Phantom Circuit
Один відомий пакет, dev-debugger-vite, використовував адресу команди та керування (C2), яка раніше була позначена SecurityScorecard як пов’язана з Lazarus Group у кампанії під назвою Phantom Circuit, яка відбулася в грудні 2024 року. Інші пакунки, такі як Events-utils і icloud-cod, були пов’язані зі сховищами Bitbucket, що відрізняються від звичайного GitHub. цілі попередніх кампаній. Ця зміна разом із каталогом «eiwork_hire», знайденим у пакеті icloud-cod, вказує на те, що зловмисники продовжують використовувати тактику співбесіди для активації інфекції.
Кілька варіантів для максимального успіху зараження
Аналіз деяких пакетів, зокрема cln-logger, node-clog, consolidate-log і consolidate-logger, виявив невеликі варіації в коді. Ці зміни свідчать про те, що зловмисники намагаються підвищити рівень успіху своєї кампанії, розгортаючи кілька варіантів шкідливого програмного забезпечення. Незважаючи на ці відмінності, вбудований код цих чотирьох пакетів функціонує як завантажувач RAT, здатний отримувати та виконувати додаткові корисні дані з віддалених серверів. На цьому етапі точна природа завантажуваного зловмисного програмного забезпечення залишається незрозумілою, оскільки кінцеві точки C2 більше не обслуговували корисне навантаження, коли дослідники проводили дослідження.
RAT Loader дозволяє дистанційно керувати зараженими системами
Бойченко описав шкідливий код як активний завантажувач із можливостями RAT, який використовує eval() для отримання та запуску віддаленого JavaScript. Цей метод дозволяє зловмисникам розгортати будь-яке подальше зловмисне програмне забезпечення на свій вибір, що робить завантажувач RAT серйозною загрозою сам по собі.
Заразна кампанія інтерв’ю не має ознак уповільнення
Ці висновки підкреслюють наполегливість кампанії «Заразливе інтерв’ю». Зловмисники не показали жодних ознак сповільнення, продовжуючи створювати нові облікові записи npm і розгортати шкідливий код на різних платформах, таких як npm, GitHub і Bitbucket. Вони також урізноманітнили свою тактику, публікуючи нове зловмисне програмне забезпечення під різними псевдонімами, використовуючи суміш сховищ і використовуючи добре відомі варіанти зловмисного програмного забезпечення, такі як BeaverTail і InvisibleFerret, разом із новішими варіантами RAT/завантажувачів.
Зловмисне програмне забезпечення Tropidoor з’являється під час фішингових атак, націлених на розробників
Тим часом південнокорейська компанія з кібербезпеки AhnLab нещодавно розкрила інший аспект кампанії. Вони виявили фішингову атаку на тему вербування, яка забезпечує BeaverTail, який потім використовується для розгортання раніше незадокументованого бекдору Windows під назвою Tropidoor. Цей бекдор, доставлений через бібліотеку npm, розміщену на Bitbucket, здатний виконувати широкий спектр шкідливих дій. Tropidoor може вилучати файли, збирати інформацію про диски та файли, запускати процеси, робити знімки екрана та навіть видаляти або перезаписувати файли з NULL або небажаними даними.
Розширені можливості пропонують посилання на відоме шкідливе програмне забезпечення Lazarus
Аналіз AhnLab виявив, що Tropidoor працює в пам’яті через завантажувач і зв’язується із сервером C2, щоб отримати інструкції. Зловмисне програмне забезпечення безпосередньо використовує команди Windows, такі як schtasks, ping і reg, які також спостерігалися в інших шкідливих програмах групи Lazarus, наприклад LightlessCan. Цей зв’язок ще більше пов’язує нинішню діяльність із північнокорейською групою, сумно відомою завдяки використанню складної тактики кібершпигунства .
Розробників закликають залишатися пильними проти атак на ланцюги поставок
Останні викриття підкреслюють постійну загрозу від Lazarus Group та інших учасників APT. Розробникам і користувачам потрібно бути обережними, завантажуючи пакети або відкриваючи файли з невідомих або підозрілих джерел. Оскільки ці атаки продовжують розвиватися, пильність щодо фішингових кампаній і перевірка залежностей на наявність зловмисного коду має вирішальне значення для захисту конфіденційної інформації від потрапляння в чужі руки.