Gli attori della minaccia nordcoreana dietro i continui Intervista contagiosa La campagna sta diffondendo i loro tentacoli sull’ecosistema NPM pubblicando pacchetti più dannosi che forniscono il malware di Beavertail, nonché un nuovo caricatore Trojan (rat) di accesso remoto.
“Questi ultimi campioni impiegano una codifica stringa esadecimale per eludere i sistemi di rilevamento automatizzati e gli audit di codice manuale, segnalando una variazione delle tecniche di offuscamento degli attori delle minacce”, il ricercatore della sicurezza socket Kirill Boychenko disse in un rapporto.
I pacchetti in questione, che sono stati scaricati collettivamente più di 5.600 volte prima della loro rimozione, sono elencati di seguito –
- Validatore a terra a vuoto
- TwitterApis
- Dev-debugger-vite
- log russare
- core-pino
- eventi-otils
- iCloud-Cod
- cln-logger
- nodo-clog
- consolidare-log
- consolidare-logger
La divulgazione arriva quasi un mese dopo un set di sei pacchetti NPM sono stati scoperti distribuendo BeavertailUN JavaScript Stealer Ciò è anche in grado di consegnare un backdoor soprannominato a backdoor a base di Python.
L’obiettivo finale della campagna è di infiltrarsi sui sistemi di sviluppatori sotto le spoglie di un processo di intervista di lavoro, rubare dati sensibili, le risorse finanziarie sifonne e mantenere l’accesso a lungo termine a sistemi compromessi.
Le biblioteche NPM appena identificate si mascherano come utility e debugger, con una di esse-Dev-Debugger-Vite-usando un indirizzo di comando e controllo (C2) precedentemente contrassegnato da SecurityScoreCard come utilizzato dal gruppo Lazarus in un codice in codice per campagna Circuito fantasma nel dicembre 2024.
Ciò che distingue questi pacchetti sono alcuni di essi, come eventi-otils e iCloud-Cod, sono collegati ai repository Bitbucket, al contrario di GitHub. Inoltre, è stato scoperto che il pacchetto iCloud-Cod è ospitato all’interno di una listing denominata “eiwork_hire“Ribadendo l’uso da parte dell’attore di minaccia di temi legati alle interviste per attivare l’infezione.
Un’analisi dei pacchetti, CLN-Logger, Node-Clog, Consolidate-Log e Consolidate-Logger, ha anche scoperto variazioni a livello di codice minori, indicando che gli aggressori stanno pubblicando più varianti di malware nel tentativo di aumentare il tasso di successo della campagna.
Indipendentemente dalle modifiche, il codice dannoso incorporato nei quattro pacchetti funziona come un caricatore Trojan (rat) di accesso remoto in grado di propagare un carico utile in fase successiva da un server remoto.
Boychenko ha detto all’Hacker Information, ha affermato che la natura esatta del malware propagato tramite il caricatore rimane sconosciuto in questa fase a causa del fatto che gli endpoint C2 non servono più carichi utili.
“Il codice funziona come un caricatore di malware attivo con funzionalità Trojan (RAT) di accesso remoto”, ha affermato Boychenko. “Prende dinamicamente ed esegue JavaScript remoto tramite Eval (), consentendo agli aggressori nordcoreani di eseguire codice arbitrario su sistemi infetti. Questo comportamento consente loro di distribuire qualsiasi malware di follow-up di loro scelta, rendendo il caricatore una minaccia significativa da sola.”
I risultati illustrano la natura persistente dell’intervista contagiosa, che, oltre a rappresentare una minaccia sostenuta per le catene di approvvigionamento software program, ha anche abbracciato il famigerato ClickFix Tattica di ingegneria sociale per distribuire malware.
“Gli attori contagiosi delle minacce al colloquio continuano a creare nuovi account NPM e distribuire un codice dannoso su piattaforme come il registro NPM, GitHub e Bitbucket, dimostrando la loro persistenza e non mostrano segni di rallentamento”, ha detto Boychenko.
“Il gruppo Superior Persistent Menace (APT) sta diversificando le sue tattiche: pubblicare nuovi malware sotto alias freschi, ospitare carichi utili in entrambe le repository di GitHub e Bitbucket e riutilizzare componenti di base come Beavertail e InvisibleFeret insieme a una variante di ratto/caricatore appena osservata.”
Beavertail cade tropidoor
La scoperta dei nuovi pacchetti NPM arriva quando AhnLab, la società di sicurezza informatica sudcoreana, ha dettagliato una campagna di phishing a tema reclutamento che offre Beavertail, che viene quindi utilizzata per distribuire una Tropidoor in codice Backdoor di Home windows Backdoor precedentemente privo di documenti. Gli artefatti analizzati dall’azienda mostrano che Beavertail viene utilizzato per colpire attivamente gli sviluppatori in Corea del Sud.
IL messaggio di posta elettronicache affermava di provenire da una società chiamata Autosquare, conteneva un collegamento a un progetto ospitato su Bitbucket, esortando il destinatario a clonare il progetto a livello locale sulla loro macchina per rivedere la loro comprensione del programma.
L’applicazione non è altro che una libreria NPM che contiene Beavertail (“Tailwind.config.js”) e un malware per downloader DLL (“Automobile.dll”), quest’ultimo dei quali è lanciato dal JavaScript Stealer and Loader.
Tropidoor è un backdoor “che opera in memoria tramite il downloader” in grado di contattare un server C2 per ricevere istruzioni che consentano di esfiltrarsi i file, raccogliere informazioni di unità e file, eseguire e terminare i processi, acquisire screenshot ed eliminare o cancellare i file sovraccaricando loro overgrindoli con i dati NULL o JUNK.
Un aspetto importante dell’impianto è che implementa direttamente i comandi di Home windows come Schtasks, Ping e Reg, una funzione precedentemente osservata anche in un altro malware del gruppo Lazzaro chiamato Lightlesscandi per sé un successore di Blindcan (aka Airdry aka zetanile).
“Gli utenti dovrebbero essere cauti non solo con gli allegati e -mail ma anche con file eseguibili da fonti sconosciute”, AHNLAB disse.
(La storia è stata aggiornata dopo la pubblicazione per includere una risposta dalla presa.)
