朝鲜黑客通过恶意 npm 包传播 BeaverTail 恶意软件
朝鲜黑客发起的新一轮攻击已经浮出水面,他们通过恶意 npm 软件包瞄准软件开发社区。这些软件包与正在进行的 Contagious Interview 活动有关,旨在传播 BeaverTail 恶意软件以及新发现的远程访问木马 (RAT) 加载程序。此活动是 Lazarus Group 更广泛行动的一部分,旨在渗透系统、窃取敏感数据并保持对受感染设备的长期访问。
目录
用于逃避检测的混淆技术
据 Socket 安全研究员 Kirill Boychenko 称,这些最新样本采用十六进制字符串编码作为混淆技术,使其更难被自动系统和手动代码审计检测到。恶意软件规避策略的这一更新表明威胁行为者绕过安全措施的方法有了明显的演变。
伪装成开发工具的恶意软件包
这些恶意 npm 软件包在被删除之前已被下载了 5,600 多次。其中一些危险软件包包括 empty-array-validator、twitterapis、dev-debugger-vite、snore-log、core-pino、events-utils、icloud-cod、cln-logger、node-clog、consolidate-log 和 solid-logger。这些软件包旨在伪装成合法的实用程序或调试器,但实际上携带了恶意负载。
通过虚假面试窃取数据
此次披露与一个月前发生的类似事件类似,当时发现六个 npm 软件包传播 BeaverTail,这是一种 JavaScript 窃取程序,还提供了一个名为 InvisibleFerret 的基于 Python 的后门。这些攻击的最终目标是以求职面试流程为幌子渗透开发人员系统。一旦进入,恶意软件就会窃取敏感信息,窃取金融资产,并允许黑客保持对受感染系统的持续访问。
拉撒路集团 (Lazarus Group) 和 Phantom Circuit 活动的链接
一个值得注意的软件包 dev-debugger-vite 使用了命令和控制 (C2) 地址,该地址之前被 SecurityScorecard 标记为与 Lazarus Group 在 2024 年 12 月发生的名为 Phantom Circuit 的活动中有关。其他软件包(例如 events-utils 和 icloud-cod)被发现链接到 Bitbucket 存储库,与早期活动中常见的 GitHub 目标不同。这种转变,以及在 icloud-cod 软件包中发现的“eiwork_hire”目录,表明攻击者继续使用与工作面试相关的策略来激活感染。
多种变体可最大程度地提高感染成功率
对 cln-logger、node-clog、consolidate-log 和 solid-logger 等一些软件包的分析发现,代码中存在细微差异。这些变化表明威胁行为者正试图通过部署多种恶意软件变体来提高其活动的成功率。尽管存在这些差异,但这四个软件包中嵌入的代码可用作 RAT 加载程序,能够从远程服务器获取和执行其他有效载荷。目前,加载的恶意软件的确切性质仍不清楚,因为研究人员调查时,C2 端点不再提供有效载荷。
RAT 加载器可实现对受感染系统的远程控制
Boychenko 将该恶意代码描述为具有 RAT 功能的主动加载程序,使用 eval() 获取并运行远程 JavaScript。这种方法允许攻击者部署他们选择的任何后续恶意软件,这使得 RAT 加载程序本身就成为重大威胁。
传染性采访活动没有放缓的迹象
这些发现强调了传染性采访活动的持久性。攻击者没有表现出任何放缓的迹象,继续创建新的 npm 帐户并在 npm、GitHub 和 Bitbucket 等各种平台上部署恶意代码。他们还多样化了他们的策略,以不同的别名发布新的恶意软件,使用混合存储库,并利用 BeaverTail 和 InvisibleFerret 等知名恶意软件变种以及较新的 RAT/加载器变种。
Tropidoor 恶意软件出现在针对开发人员的网络钓鱼攻击中
与此同时,韩国网络安全公司 AhnLab 最近发现了该活动的另一个方面。他们发现了一个以招聘为主题的网络钓鱼攻击,该攻击会传播 BeaverTail,然后用于部署一个之前未记录的 Windows 后门,名为 Tropidoor。这个后门通过 Bitbucket 上托管的 npm 库传播,能够执行各种恶意操作。Tropidoor 可以窃取文件、收集有关驱动器和文件的信息、运行进程、捕获屏幕截图,甚至删除或覆盖包含 NULL 或垃圾数据的文件。
高级功能暗示与已知的 Lazarus 恶意软件有关
AhnLab 的分析发现,Tropidoor 通过下载程序在内存中运行,并联系 C2 服务器以接收指令。该恶意软件直接使用 Windows 命令,例如 schtasks、ping 和 reg,这些命令也曾在 Lazarus Group 的其他恶意软件(例如 LightlessCan)中观察到。这种联系进一步将当前的活动与朝鲜组织联系起来,该组织因使用复杂的网络间谍手段而臭名昭著。
敦促开发人员对供应链攻击保持警惕
最新披露的信息凸显了 Lazarus Group 和其他 APT 参与者的持续威胁。开发人员和用户在下载软件包或打开来自未知或可疑来源的文件时都需要小心谨慎。随着这些攻击不断演变,保持警惕以防网络钓鱼活动并检查依赖项中的恶意代码对于保护敏感信息不落入坏人之手至关重要。