Tin tặc Bắc Triều Tiên phát tán phần mềm độc hại BeaverTail thông qua các gói npm độc hại

Một làn sóng tấn công mới từ tin tặc Bắc Triều Tiên đã nổi lên, nhắm vào cộng đồng phát triển phần mềm thông qua các gói npm độc hại. Các gói này, liên quan đến chiến dịch Phỏng vấn Contagious đang diễn ra, được thiết kế để phân phối phần mềm độc hại BeaverTail , cũng như trình tải trojan truy cập từ xa (RAT) mới được phát hiện. Chiến dịch này là một phần trong nỗ lực rộng lớn hơn của Lazarus Group nhằm xâm nhập hệ thống, đánh cắp dữ liệu nhạy cảm và duy trì quyền truy cập lâu dài vào các thiết bị bị xâm phạm.

Kỹ thuật che giấu được sử dụng để tránh bị phát hiện

Theo nhà nghiên cứu bảo mật Kirill Boychenko của Socket, các mẫu mới nhất này sử dụng mã hóa chuỗi thập lục phân như một kỹ thuật che giấu, khiến chúng khó bị phát hiện hơn bởi cả hệ thống tự động và kiểm tra mã thủ công. Bản cập nhật này trong chiến lược trốn tránh của phần mềm độc hại cho thấy sự tiến hóa rõ ràng trong các phương pháp của tác nhân đe dọa để vượt qua các biện pháp bảo mật.

Các gói độc hại ngụy trang thành công cụ dành cho nhà phát triển

Các gói npm độc hại đã được tải xuống hơn 5.600 lần trước khi chúng bị xóa. Một số gói nguy hiểm bao gồm empty-array-validator, twitterapis, dev-debugger-vite, snore-log, core-pino, events-utils, icloud-cod, cln-logger, node-clog, consolidation-log và consolidation-logger. Các gói này được thiết kế để ngụy trang thành các tiện ích hoặc trình gỡ lỗi hợp pháp nhưng thực tế lại mang theo các tải trọng độc hại.

Đánh cắp dữ liệu thông qua các cuộc phỏng vấn xin việc giả mạo

Tiết lộ này theo sau một sự cố tương tự xảy ra một tháng trước đó khi sáu gói npm được phát hiện đang phát tán BeaverTail, một trình đánh cắp JavaScript cũng cung cấp một cửa hậu dựa trên Python có tên là InvisibleFerret. Mục tiêu cuối cùng của các cuộc tấn công này là xâm nhập vào hệ thống của nhà phát triển dưới vỏ bọc là các quy trình phỏng vấn xin việc. Một khi đã xâm nhập, phần mềm độc hại sẽ đánh cắp thông tin nhạy cảm, hút cạn tài sản tài chính và cho phép tin tặc duy trì quyền truy cập liên tục vào các hệ thống bị xâm phạm.

Liên kết đến Lazarus Group và Chiến dịch Phantom Circuit

Một gói đáng chú ý, dev-debugger-vite, đã sử dụng địa chỉ lệnh và điều khiển (C2) trước đó đã được SecurityScorecard đánh dấu là có liên quan đến Nhóm Lazarus trong một chiến dịch có tên Phantom Circuit, diễn ra vào tháng 12 năm 2024. Các gói khác, chẳng hạn như events-utils và icloud-cod, được phát hiện có liên kết đến kho lưu trữ Bitbucket, khác với các mục tiêu GitHub thông thường được thấy trong các chiến dịch trước đó. Sự thay đổi này, cùng với thư mục "eiwork_hire" được tìm thấy trong gói icloud-cod, cho thấy những kẻ tấn công tiếp tục sử dụng các chiến thuật liên quan đến phỏng vấn xin việc để kích hoạt nhiễm trùng.

Nhiều biến thể để tối đa hóa thành công của nhiễm trùng

Phân tích một số gói, bao gồm cln-logger, node-clog, consolidation-log và consolidation-logger, đã tiết lộ những thay đổi nhỏ trong mã. Những thay đổi này cho thấy rằng những kẻ đe dọa đang cố gắng tăng tỷ lệ thành công của chiến dịch bằng cách triển khai nhiều biến thể phần mềm độc hại. Bất chấp những khác biệt này, mã nhúng trong bốn gói này hoạt động như một trình tải RAT có khả năng truy xuất và thực thi các tải trọng bổ sung từ các máy chủ từ xa. Ở giai đoạn này, bản chất chính xác của phần mềm độc hại đang được tải vẫn chưa rõ ràng, vì các điểm cuối C2 không còn phục vụ tải trọng khi các nhà nghiên cứu điều tra.

RAT Loader cho phép điều khiển từ xa các hệ thống bị nhiễm

Boychenko mô tả mã độc là một trình tải hoạt động có khả năng RAT, sử dụng eval() để lấy và chạy JavaScript từ xa. Phương pháp này cho phép kẻ tấn công triển khai bất kỳ phần mềm độc hại tiếp theo nào mà chúng chọn, khiến trình tải RAT tự nó trở thành mối đe dọa đáng kể.

Chiến dịch phỏng vấn lây lan không có dấu hiệu chậm lại

Những phát hiện này nhấn mạnh sự dai dẳng của chiến dịch Phỏng vấn Contagious. Những kẻ tấn công không có dấu hiệu chậm lại, tiếp tục tạo tài khoản npm mới và triển khai mã độc trên nhiều nền tảng khác nhau như npm, GitHub và Bitbucket. Chúng cũng đa dạng hóa chiến thuật của mình, phát hành phần mềm độc hại mới dưới nhiều bí danh khác nhau, sử dụng kết hợp nhiều kho lưu trữ và tận dụng các biến thể phần mềm độc hại nổi tiếng như BeaverTail và InvisibleFerret cùng với các biến thể RAT/loader mới hơn.

Phần mềm độc hại Tropidoor xuất hiện trong các cuộc tấn công lừa đảo nhắm vào nhà phát triển

Trong khi đó, công ty an ninh mạng AhnLab của Hàn Quốc gần đây đã phát hiện ra một khía cạnh khác của chiến dịch. Họ đã xác định được một cuộc tấn công lừa đảo theo chủ đề tuyển dụng cung cấp BeaverTail, sau đó được sử dụng để triển khai một cửa hậu Windows chưa được ghi chép trước đó có tên là Tropidoor. Cửa hậu này, được cung cấp thông qua thư viện npm được lưu trữ trên Bitbucket, có khả năng thực hiện nhiều hành động độc hại. Tropidoor có thể trích xuất các tệp, thu thập thông tin về ổ đĩa và tệp, chạy các quy trình, chụp ảnh màn hình và thậm chí xóa hoặc ghi đè lên các tệp bằng dữ liệu NULL hoặc dữ liệu rác.

Khả năng nâng cao đề xuất liên kết đến phần mềm độc hại Lazarus đã biết

Phân tích của AhnLab phát hiện ra rằng Tropidoor hoạt động trong bộ nhớ thông qua trình tải xuống và liên hệ với máy chủ C2 để nhận hướng dẫn. Phần mềm độc hại này sử dụng trực tiếp các lệnh Windows như schtasks, ping và reg, cũng đã được quan sát thấy trong phần mềm độc hại khác của Lazarus Group, chẳng hạn như LightlessCan. Mối liên hệ này càng gắn chặt hoạt động hiện tại với nhóm Bắc Triều Tiên, vốn khét tiếng vì sử dụng các chiến thuật gián điệp mạng tinh vi .

Các nhà phát triển được khuyến khích cảnh giác với các cuộc tấn công chuỗi cung ứng

Những tiết lộ mới nhất nhấn mạnh mối đe dọa đang diễn ra do Lazarus Group và các tác nhân APT khác gây ra. Các nhà phát triển và người dùng đều cần phải thận trọng khi tải xuống các gói hoặc mở tệp từ các nguồn không xác định hoặc đáng ngờ. Khi các cuộc tấn công này tiếp tục phát triển, việc luôn cảnh giác với các chiến dịch lừa đảo và kiểm tra các phụ thuộc để tìm mã độc là rất quan trọng trong việc bảo vệ thông tin nhạy cảm khỏi rơi vào tay kẻ xấu.