Cybersecurity -onderzoekers hebben een nieuwe reeks kwaadaardige NPM -pakketten ontdekt die zijn gekoppeld aan de voortdurende besmettelijke interviewoperatie afkomstig uit Noord -Korea.
Volgens Socket omvat de lopende supply chain -aanval 35 kwaadaardige pakketten die zijn geüpload van 24 npm -accounts. Deze pakketten zijn meer dan 4000 keer collectief gedownload. De volledige lijst van de JavaScript -bibliotheken is hieronder –
- react-geplaatste sdk
- sumsub-node-websdk
- vite-plugin-next-refresh
- vite-plugine-purify
- Nextjs-Insight
- vite-plugin-svgn
- knooppuntloggers
- react-logs
- reactbootstraps
- framer-motion-ext
- Serverlog-Dispatch
- Mongo-Errorlog
- Nextlog-patcher
- vite-plugin-tools
- pixelpercentage
- Test-Topdev-Logger-V1
- Test-Topdev-Logger-V3
- Server-log-motor
- Logbin-nodejs
- vite-loader-SVG
- structuur
- flexibele logers
- mooie plugins
- krijtconfiguratie
- jsonpacks
- jsonspecifiek
- jsonsecs
- util-buffers
- wazig
- pract-watch
- melang
- priorfig
- use-videoos
- lucide-knoop, en
- router-parse
Hiervan blijven zes beschikbaar voor download van NPM: React-Plaid-SDK, Sumsub-Node-WebSDK, Vite-Plugin-Next-Refresh, Vite-Loader-SVG, Node-Form-Mongoose en Router-parse.
Elk van de geïdentificeerde NPM-pakketten bevat een hex-gecodeerde lader genaamd Hexeval, die is ontworpen om de installatie van hostinformatie te verzamelen en selectief een vervolgkalfin te leveren die verantwoordelijk is voor het leveren van een bekende JavaScript-stealer genaamd Beavertail.
Beavertail is op zijn beurt geconfigureerd om een Python -achterdeur te downloaden en uit te voeren genaamd InvisibleFerret, waardoor de dreigingsactoren gevoelige gegevens kunnen verzamelen en de afstandsbediening van geïnfecteerde hosts kunnen vaststellen.
“Deze nestdoll-structuur helpt de campagne helpt basisstatische scanners en handmatige beoordelingen te ontwijken,” zei Socket-onderzoeker Kirill Boychenko. “Eén NPM-alias heeft ook een platformonafhankelijke keylogger-pakket verzonden dat elke toetsaanslag vastlegt en de bereidheid van de dreigingsacteurs aantoont om de payloads op te passen voor diepere toezicht wanneer het doelwit het rechtvaardigt.”
Convagieus interview, eerst openbaar gedocumenteerd door Palo Alto Networks Unit 42 eind 2023, is een voortdurende campagne die door Noord-Koreaanse door de staat gesponsorde dreigingsactoren wordt uitgevoerd om ongeautoriseerde toegang tot ontwikkelaarssystemen te verkrijgen met als doel cryptocurrency en gegevensdiefstal uit te voeren.
Het cluster wordt ook breed gevolgd onder de monikers CL-STA-0240, Ontceptontwikkeling, Dev#Popper, Famous Chollima, Gwisin Gang, Touwe Pungsan, UNC5342 en Void Dokkaebi.
Recente iteraties van de campagne zijn ook waargenomen om te profiteren van de ClickFix Social Engineering Tactic om malware te leveren zoals Golangghost en Pylangghost. Deze subcluster van activiteit is aangeduid als de naam ClickFake-interview.
De nieuwste bevindingen van Socket wijzen op een meervoudige aanpak waarbij Pyongyang-dreigingsacteurs verschillende methoden omarmen om potentiële doelen te misleiden om malware te installeren onder het voorwendsel van een interview of een zoombijeenkomst.
De NPM -uitlopers van het besmettelijke interview betreft meestal de aanvallers die zich voordoen als recruiters op LinkedIn, het sturen van werkzoekenden en ontwikkelaars die opdrachten coderen door een link te delen naar een kwaadaardig project gehost op GitHub of Bitbucket die de NPM -pakketten erin inbedden.
“Ze richten zich op software-ingenieurs die actief op jobjagen zijn, en exploiteren het vertrouwen dat werkzoekenden meestal in recruiters plaatsen,” zei Boychenko. “Neppersona’s initiëren contact, vaak met scriptbereikberichten en overtuigende functiebeschrijvingen.”
De slachtoffers worden vervolgens overgehaald in het klonen en het uitvoeren van deze projecten buiten containeriseerde omgevingen tijdens het vermeende interviewproces.
“Deze kwaadaardige campagne benadrukt een evoluerend tradecraft in Noord-Koreaanse supply chain-aanvallen, een die malware-enscenering, OSINT-gedreven targeting en sociale engineering combineert om ontwikkelaars te compromitteren via vertrouwde ecosystemen,” zei Socket.
“Door malware-laders zoals hexeval in open source-pakketten in te bedden en te leveren door middel van nep-taakopdrachten, omzeilen bedreigingsactoren perimeterafweer en verkrijgen uitvoering van de systemen van gerichte ontwikkelaars. De multi-stage-structuur van de campagne, minimale voetafdruk op de real-stage, en proberen te ontwijken om containeromgevingen te ontwijken naar een goed ingestelde adverterende adverterende advertenties in de real-time.”
