北韓駭客透過惡意 npm 套件傳播 BeaverTail 惡意軟體
北韓駭客發起的新一波攻擊已經浮出水面,透過惡意 npm 套件瞄準軟體開發社群。這些軟體包與正在進行的「傳染性訪談」活動有關,旨在傳播 BeaverTail 惡意軟體以及新發現的遠端存取木馬 (RAT) 載入程式。這項活動是 Lazarus Group 更廣泛行動的一部分,旨在滲透系統、竊取敏感資料並維持對受感染設備的長期存取。
目錄
用於逃避檢測的混淆技術
據 Socket 安全研究員 Kirill Boychenko 稱,這些最新樣本採用十六進製字串編碼作為混淆技術,使其更難被自動化系統和手動代碼審計檢測到。惡意軟體逃避策略的更新顯示威脅行為者繞過安全措施的方法有了明顯的發展。
偽裝成開發工具的惡意軟體包
這些惡意 npm 套件在刪除之前已被下載了 5,600 多次。一些危險的軟體包包括empty-array-validator、twitterapis、dev-debugger-vite、snore-log、core-pino、events-utils、icloud-cod、cln-logger、node-clog、consolidate-log和consolidate-logger。這些軟體包原本是偽裝成合法的實用程式或偵錯器,但實際上攜帶了惡意負載。
透過虛假面試竊取數據
這次披露與一個月前發生的類似事件類似,當時發現六個 npm 套件在傳播 BeaverTail,BeaverTail 是一種 JavaScript 竊取程序,還提供了一個名為 InvisibleFerret 的基於 Python 的後門。這些攻擊的最終目的是以求職面試流程為幌子滲透開發人員系統。一旦入侵,惡意軟體就會竊取敏感資訊、竊取金融資產,並允許駭客持續存取受感染的系統。
拉撒路集團 (Lazarus Group) 和 Phantom Circuit 活動的鏈接
一個值得注意的軟體包 dev-debugger-vite 使用了命令和控制 (C2) 位址,該位址先前被 SecurityScorecard 標記為與 Lazarus Group 在 2024 年 12 月發生的名為 Phantom Circuit 的活動中有關。其他軟體包,例如 events-utils 和 icloud-cod,被發現與 Bitbucket 儲存庫相關聯,與早期活動中常見的 GitHub 目標不同。這種轉變,加上在 icloud-cod 套件中發現的「eiwork_hire」目錄,表明攻擊者繼續使用與求職面試相關的策略來啟動感染。
多種變體可最大程度地提高感染成功率
一些軟體套件(包括 cln-logger、node-clog、consolidate-log 和 solid-logger)的分析發現,程式碼有細微的差別。這些變化表明威脅行為者正試圖透過部署多種惡意軟體變種來提高其活動的成功率。儘管存在這些差異,但這四個套件中嵌入的程式碼都可以作為 RAT 載入器,從遠端伺服器取得並執行額外的有效負載。在這個階段,所載入的惡意軟體的具體性質仍不清楚,因為當研究人員調查時,C2端點不再提供有效載荷。
RAT 載入器可實現對受感染系統的遠端控制
Boychenko 將惡意程式碼描述為具有 RAT 功能的活動載入器,使用 eval() 來取得和執行遠端 JavaScript。這種方法允許攻擊者部署他們選擇的任何後續惡意軟體,使得 RAT 載入程式本身成為重大威脅。
傳染性採訪活動沒有放緩的跡象
這些發現強調了「傳染性訪談」活動的持久性。攻擊者沒有絲毫放慢腳步的跡象,繼續創建新的 npm 帳戶並在 npm、GitHub 和 Bitbucket 等各種平台上部署惡意程式碼。他們還採用了多樣化策略,以不同的別名發布新的惡意軟體,使用混合儲存庫,並利用 BeaverTail 和 InvisibleFerret 等知名惡意軟體變種以及較新的 RAT/載入器變種。
Tropidoor 惡意軟體出現在針對開發人員的網路釣魚攻擊中
與此同時,韓國網路安全公司 AhnLab 最近發現了該活動的另一個面向。他們發現了一個以招募為主題的網路釣魚攻擊,該攻擊會傳播 BeaverTail,然後用於部署一個以前未記錄的 Windows 後門 Tropidoor。該後門透過 Bitbucket 上託管的 npm 庫提供,能夠執行各種惡意操作。 Tropidoor 可以竊取檔案、收集有關磁碟機和檔案的資訊、運行進程、擷取螢幕截圖,甚至用 NULL 或垃圾資料刪除或覆蓋檔案。
高級功能暗示與已知的 Lazarus 惡意軟體有關
AhnLab 的分析發現,Tropidoor 透過下載程式在記憶體中運行,並聯繫 C2 伺服器接收指令。該惡意軟體直接使用 Windows 命令,例如 schtasks、ping 和 reg,這些命令在其他 Lazarus Group 惡意軟體(例如 LightlessCan)中也有發現。這種聯繫進一步將當前的活動與北韓組織聯繫起來,該組織因使用複雜的網路間諜手段而臭名昭著。
敦促開發人員對供應鏈攻擊保持警惕
最新消息凸顯了 Lazarus Group 和其他 APT 行為者所構成的持續威脅。開發人員和使用者在下載來自未知或可疑來源的軟體包或開啟檔案時都需要小心謹慎。隨著這些攻擊不斷演變,保持警惕以防範網路釣魚活動並檢查惡意程式碼的依賴關係對於保護敏感資訊不落入壞人之手至關重要。