Drie kwaadaardige pakketten die in september 2024 in het npm-register zijn gepubliceerd, blijken een bekende malware te bevatten genaamd BeaverTail, een JavaScript-downloader en informatiedief die is gekoppeld aan een lopende Noord-Koreaanse campagne die wordt gevolgd als Contagious Interview.
Het Datadog Security Research-team houdt de activiteit onder de naam in de gaten Vasthoudend Pungsanook bekend onder de namen CL-STA-0240 en Famous Chollima.
De namen van de kwaadaardige pakketten, die niet langer beschikbaar zijn om te downloaden uit het pakketregister, staan hieronder vermeld:
- paspoorten-js, een achterdeurkopie van het paspoort (118 downloads)
- bcrypts-js, een achterdeurkopie van bcryptjs (81 downloads)
- blockscan-api, een achterdeurkopie van etherscan-api (124 downloads)
Contagious Interview verwijst naar een jarenlange campagne van de Democratische Volksrepubliek Korea (DPRK) waarbij ontwikkelaars worden misleid om kwaadaardige pakketten of ogenschijnlijk onschadelijke videoconferentietoepassingen te downloaden als onderdeel van een coderingstest. Het kwam voor het eerst aan het licht in november 2023.
Dit is niet de eerste keer dat de bedreigingsactoren npm-pakketten gebruiken om BeaverTail te verspreiden. In augustus 2024 onthulde software supply chain-beveiligingsbedrijf Phylum nog een reeks npm-pakketten die de weg vrijmaakten voor de inzet van BeaverTail en een Python-achterdeur genaamd InvisibleFerret.
De namen van de destijds geïdentificeerde kwaadaardige pakketten waren temp-etherscan-api, ethersscan-api, telegram-con, helm-validate en qq-console. Eén aspect dat beide sets pakketten gemeen hebben, is de voortdurende inspanning van de bedreigingsactoren om het etherscan-api-pakket na te bootsen, wat aangeeft dat de cryptocurrency-sector een hardnekkig doelwit is.
Vorige maand zei Stacklok dat het een nieuwe golf van nagemaakte pakketten had ontdekt – eslint-module-conf en eslint-scope-util – die zijn ontworpen om cryptocurrencies te verzamelen en permanente toegang tot gecompromitteerde ontwikkelaarsmachines tot stand te brengen.
Palo Alto Networks Unit 42 vertelde eerder deze maand aan The Hacker News dat de campagne een effectieve manier is gebleken om malware te verspreiden door gebruik te maken van het vertrouwen en de urgentie van werkzoekenden bij het online solliciteren naar vacatures.
De bevindingen benadrukken hoe bedreigingsactoren de toeleveringsketen van open source-software steeds vaker misbruiken als aanvalsvector om downstream-doelen te infecteren.
“Het kopiëren en backdooren van legitieme npm-pakketten blijft een veelgebruikte tactiek van bedreigingsactoren in dit ecosysteem”, aldus Datadog. “Deze campagnes, samen met Contagious Interview in bredere zin, benadrukken dat individuele ontwikkelaars waardevolle doelwitten blijven voor deze aan de DVK gelinkte bedreigingsactoren.”
