Севернокорејски хакери шире БеаверТаил малвер преко злонамерних нпм пакета
Појавио се нови талас напада севернокорејских хакера који циљају заједницу за развој софтвера преко злонамерних нпм пакета. Ови пакети, повезани са текућом кампањом Цонтагиоус Интервиев, дизајнирани су да испоруче БеаверТаил малвер , као и новооткривени тројански програм за даљински приступ (РАТ). Ова кампања је део ширег напора Лазарус групе да се инфилтрира у системе, украде осетљиве податке и задржи дугорочни приступ компромитованим уређајима.
Преглед садржаја
Технике замагљивања које се користе за избегавање откривања
Према истраживачу безбедности Соцкет-а Кирилу Бојченку, ови најновији узорци користе хексадецимално кодирање низова као технику замагљивања, што их чини тежим за откривање и аутоматским системима и ручним ревизијама кода. Ово ажурирање стратегије избегавања малвера показује јасну еволуцију у методама актера претњи да заобиђу мере безбедности.
Злонамерни пакети који се маскирају као алатке за програмере
Злонамерни нпм пакети су преузети преко 5.600 пута пре него што су уклоњени. Неки од опасних пакета су укључивали празан низ-валидатор, твиттерапис, дев-дебуггер-вите, сноре-лог, цоре-пино, евентс-утилс, ицлоуд-цод, цлн-логгер, ноде-цлог, цонсолидате-лог и цонсолидате-логгер. Ови пакети су били намењени да се маскирају као легитимни услужни програми или програми за отклањање грешака, али су у ствари носили малициозни терет.
Крађа података путем лажних интервјуа за посао
Ово откривање прати сличан инцидент који се догодио месец дана раније када је откривено шест нпм пакета који шире БеаверТаил, ЈаваСцрипт крадљивац који је такође испоручио бацкдоор заснован на Питхон-у под називом ИнвисиблеФеррет. Крајњи циљ ових напада је да се инфилтрирају у системе програмера под маском процеса интервјуа за посао. Када једном уђе, злонамерни софтвер краде осетљиве информације, извлачи финансијску имовину и омогућава хакерима да задрже упоран приступ компромитованим системима.
Везе ка Лазарус групи и кампањи Пхантом Цирцуит
Један значајан пакет, дев-дебуггер-вите, користио је адресу за команду и контролу (Ц2) коју је СецуритиСцорецард претходно означио као повезану са Лазарус групом у кампањи под називом Пхантом Цирцуит, која се догодила у децембру 2024. Утврђено је да су други пакети, као што су догађаји-утилс и ицлоуд-цод, са Битито-а, поново повезани са нама, поново повезаним ГитХуб циљеви виђени у ранијим кампањама. Ова промена, заједно са директоријумом „еиворк_хире“ који се налази у пакету ицлоуд-цод, указује на то да нападачи настављају да користе тактике везане за интервју за посао да би активирали инфекцију.
Више варијанти за максимизирање успеха инфекције
Анализа неких пакета, укључујући цлн-логгер, ноде-цлог, цонсолидате-лог и цонсолидате-логгер, открила је мале варијације у коду. Ове промене сугеришу да актери претњи покушавају да повећају стопу успеха своје кампање применом више варијанти малвера. Упркос овим разликама, уграђени код у ова четири пакета функционише као РАТ лоадер способан да дохвати и изврши додатне корисне податке са удаљених сервера. У овој фази, тачна природа малвера који се учитава остаје нејасна, пошто крајње тачке Ц2 више нису опслуживале корисно оптерећење када су истраживачи истраживали.
РАТ Лоадер омогућава даљинску контролу заражених система
Бојченко је описао злонамерни код као активан учитавач са РАТ могућностима, користећи евал() за преузимање и покретање удаљеног ЈаваСцрипт-а. Овај метод омогућава нападачима да примене било који пратећи малвер по свом избору, чинећи РАТ учитавач сам по себи значајну претњу.
Кампања заразних интервјуа не показује знаке успоравања
Ови налази наглашавају упорност кампање заразних интервјуа. Нападачи нису показали знаке успоравања, настављајући да креирају нове нпм налоге и примењују злонамерни код на различитим платформама као што су нпм, ГитХуб и Битбуцкет. Такође су диверзификовали своју тактику, објављујући нови малвер под различитим псеудонимима, користећи мешавину складишта и користећи добро познате варијанте малвера као што су БеаверТаил и ИнвисиблеФеррет заједно са новијим РАТ/лоадер варијантама.
Тропидоор злонамерни софтвер се појављује у пхисхинг нападима усмереним на програмере
У међувремену, јужнокорејска компанија за сајбер безбедност АхнЛаб недавно је открила још један аспект кампање. Идентификовали су пхисхинг напад са темом регрутовања који испоручује БеаверТаил, који се затим користи за постављање претходно недокументованог Виндовс бацкдоор-а под називом Тропидоор. Овај бацкдоор, испоручен преко нпм библиотеке хостоване на Битбуцкет-у, способан је да изврши широк спектар злонамерних радњи. Тропидоор може ексфилтрирати датотеке, прикупити информације о дисковима и датотекама, покренути процесе, направити снимке екрана, па чак и избрисати или преписати датотеке са НУЛЛ или нежељеним подацима.
Напредне могућности предлажу везу до познатог злонамерног софтвера Лазарус
Анализа АхнЛаб-а је открила да Тропидоор ради у меморији преко преузимача и контактира Ц2 сервер да би примио упутства. Малвер директно користи Виндовс команде као што су сцхтаскс, пинг и рег, што је такође примећено код других малвера Лазарус групе, као што је ЛигхтлессЦан. Ова веза даље повезује тренутну активност са севернокорејском групом, која је озлоглашена по употреби софистицираних тактика сајбер шпијунаже .
Програмери су позвани да остану опрезни против напада на ланац снабдевања
Најновија открића наглашавају сталну претњу коју представљају Лазарус група и други АПТ актери. Програмери и корисници морају бити опрезни када преузимају пакете или отварају датотеке из непознатих или сумњивих извора. Како ови напади настављају да се развијају, пазити на пхисхинг кампање и провера зависности за злонамерни код је кључно за заштиту осетљивих информација од пада у погрешне руке.