Noord -Koreaanse hackers implementeren Beavertail Malware via 11 kwaadaardige NPM -pakketten

Cyberbeveiliging
Malicious npm Packages

De Noord -Koreaanse dreigingsacteurs achter de aanhoudende besmettelijke interviewcampagne verspreiden hun tentakels over het NPM -ecosysteem door meer kwaadaardige pakketten te publiceren die de Beavertail -malware leveren, evenals een nieuwe externe toegang Trojan (Rat) Loader.

“Deze nieuwste monsters maken gebruik van hexadecimale stringcodering om geautomatiseerde detectiesystemen en handmatige code -audits te ontwijken, wat een variatie aangeeft in de obfuscatietechnieken van de dreigingsactoren,” zei Socket -beveiligingsonderzoeker Kirill Boychenko in een rapport.

De betreffende pakketten, die meer dan 5.600 keer vóór hun verwijdering gezamenlijk werden gedownload, worden hieronder vermeld –

  • lege-array-validator
  • Twitterapis
  • Dev-Debugger-Vite
  • snurken.
  • kernpino
  • Evenementen-utils
  • iCloud-cod
  • CLN-Logger
  • knooppunt
  • Consolidate-log
  • Consolidate-Logger

De openbaarmaking komt bijna een maand nadat een set van zes NPM-pakketten werd ontdekt Distributing Beavertail, een JavaScript-stealer die ook in staat is om een ​​Python-gebaseerde achterdeur nagesynchroniseerd onzichtbaar te leveren.

Het einddoel van de campagne is om ontwikkelaarssystemen te infiltreren onder het mom van een sollicitatiegesprekingsproces, gevoelige gegevens te stelen, financiële activa te overleven en de toegang op lange termijn tot gecompromitteerde systemen te behouden.

De nieuw geïdentificeerde NPM-bibliotheken vermoeden als hulpprogramma’s en debuggers, met een van hen-Dev-Debugger-Vite-met behulp van een command-and-control (C2) -adres dat eerder werd gemarkeerd door SecurityScoreCard zoals gebruikt door de Lazarus Group in een campagnecircuit Fantom Circuit.

Wat deze pakketten opvalt, zijn enkele van hen, zoals gebeurtenissen-utils en iCloud-cod, zijn gekoppeld aan Bitbucket-repositories, in tegenstelling tot GitHub. Bovendien is het iCloud-COD-pakket georganiseerd in een directory genaamd “Eiwork_Hire”, die het gebruik van de dreigingsacteur van interviewgerelateerde thema’s herhaalt om de infectie te activeren.

Een analyse van de pakketten, CLN-Logger, Node-Clog, Consolidate-Log en Consolidate-Logger, heeft ook kleine variaties op codeniveau ontdekt, wat aangeeft dat de aanvallers meerdere malwarevarianten publiceren in een poging het slagingspercentage van de campagne te verhogen.

Ongeacht de wijzigingen functioneert de kwaadaardige code die is ingebed in de vier pakketten als een externe toegang Trojan (rat) lader die in staat is om een ​​payload van de volgende fase van een externe server te verspreiden.

“De besmettelijke acteurs van de interviewdreiging blijven nieuwe NPM -accounts maken en kwaadaardige code implementeren op verschillende platforms zoals het NPM -register, GitHub en Bitbucket, die hun doorzettingsvermogen aantonen en geen tekenen van vertraging vertonen,” zei Boychenko.

“De Advanced Persistented Threat (APT) -groep diversifieert zijn tactieken – het publiceren van nieuwe malware onder verse aliassen, het hosten van payloads in zowel GitHub- als Bitbucket -repositories en hergebruik van kerncomponenten zoals Beavertail en InvisableRetrret naast de nieuw waargenomen variant voor ratten/lader.”

Beavertail drops tropidoor

De openbaarmaking komt als de Zuid-Koreaanse cybersecuritybedrijf Ahnlab een phishing-campagne met wervingsthema gedetailleerd die Beavertail levert, die vervolgens wordt gebruikt om een ​​eerder codenaam van de Windows-achterdeur te implementeren. Artefacten geanalyseerd door het bedrijf tonen aan dat Beavertail wordt gebruikt om zich actief te richten op ontwikkelaars in Zuid -Korea.

Het e -mailbericht, dat beweerde afkomstig te zijn van een bedrijf genaamd Autosquare, bevatte een link naar een project dat op Bitbucket werd gehost, waarbij de ontvanger werd aanspoorde het project lokaal op hun machine te klonen om hun begrip van het programma te herzien.

De applicatie is niets anders dan een NPM -bibliotheek die Beavertail (“Tailwind.config.js”) en een DLL Downloader Malware (“Car.dll”) bevat, waarvan de laatste wordt gelanceerd door de JavaScript Stealer en Loader.

Tropidoor is een backdoor “in het geheugen werken via de downloader” die in staat is om contact op te nemen met een C2 -server om instructies te ontvangen die het mogelijk maken om bestanden te exfiltreren, aandrijf- en bestandsinformatie te verzamelen, processen uit te voeren en te beëindigen, schermenhots vast te leggen en bestanden te verwijderen door ze te overschrijven door ze te schrijven met null- of junk -gegevens.

Een belangrijk aspect van het implantaat is dat het direct Windows -opdrachten zoals SCHTASKS, PING en REG implementeert, een functie die eerder ook werd waargenomen in een andere Lazarus -groepsmalware genaamd LightlessCan, zelf een opvolger van BlindingCan (aka AirDry aka Zetanile).

“Gebruikers moeten niet alleen voorzichtig zijn met e -mailbijlagen, maar ook met uitvoerbare bestanden uit onbekende bronnen,” zei Ahnlab.

Thijs Van der Does

Thijs Van der Does

De hoofdredacteur van Techidee.nl is Thijs Van der Does. Thijs begon als een eenvoudige technologie-enthousiast, die altijd op de hoogte was van het laatste nieuws en zijn ontdekkingen deelde met zijn vrienden.

Amerikaanse kabel MVNO’s maken het moeilijk om traditionele dragers aan te bevelen

T-Mobile Tracking Glitch heeft de locaties van kinderen blootgesteld aan vreemden

Neem contact met ons op

U kunt ons bereiken op onze bedrijfslocatie aan de Hoofdstraat 123, 4567 JH Amsterdam, of bel ons op 0318-1234567. We kijken ernaar uit van u te horen!

[email protected]