Noord-Koreaanse hackers Moonstone Sleet pushen kwaadaardige JS-pakketten naar npm Registry

De aan Noord-Korea gelinkte dreigingsactor die bekend staat als Maansteen ijzel blijft schadelijke npm-pakketten naar het JavaScript-pakketregister pushen met als doel Windows-systemen te infecteren, wat het hardnekkige karakter van hun campagnes onderstreept.

De betreffende pakketten, harthat-api en harthat-hash, werden gepubliceerd op 7 juli 2024, volgens Datadog Security Labs. Beide bibliotheken trokken geen downloads en werden kort na een korte periode verwijderd.

De beveiligingsafdeling van het bedrijf dat toezicht houdt op de cloud, houdt de dreigingsactor in de gaten onder de naam Stressed Pungsan. Deze dreiging vertoont overlappingen met een onlangs ontdekte Noord-Koreaanse cluster van kwaadaardige activiteiten, genaamd Moonstone Sleet.

“Hoewel de naam lijkt op het Hardhat npm-pakket (een Ethereum-ontwikkelingshulpprogramma), duidt de inhoud niet op de intentie om het te typosquatten”, aldus Datadog-onderzoekers Sebastian Obregoso en Zack Allen. “Het kwaadaardige pakket hergebruikt code van een bekende GitHub-repository genaamd node-config met meer dan 6.000 sterren en 500 forks, in npm bekend als config.”

Het is bekend dat door de vijandige groep georganiseerde aanvalsketens valse ZIP-archiefbestanden verspreiden via LinkedIn onder een valse bedrijfsnaam of freelancewebsites. Hiermee worden potentiële doelwitten verleid tot het uitvoeren van payloads die een npm-pakket aanroepen als onderdeel van een zogenaamde beoordeling van technische vaardigheden.

“Toen het schadelijke pakket werd geladen, gebruikte het curl om verbinding te maken met een door de actor gecontroleerd IP-adres en extra schadelijke payloads zoals SplitLoader te droppen”, merkte Microsoft op in mei 2024. “In een ander incident leverde Moonstone Sleet een schadelijke npm-loader die leidde tot diefstal van inloggegevens van LSASS.”

Uit latere bevindingen van Checkmarx bleek dat Moonstone Sleet ook probeerde hun pakketten via het npm-register te verspreiden.

De nieuw ontdekte pakketten zijn ontworpen om een ​​pre-installatiescript uit te voeren dat is opgegeven in het bestand package.json. Dit script controleert vervolgens of het op een Windows-systeem (“Windows_NT”) wordt uitgevoerd. Vervolgens maakt het contact met een externe server (“142.111.77(.)196”) om een ​​DLL-bestand te downloaden dat wordt geladen met behulp van het binaire bestand rundll32.exe.

De frauduleuze DLL voert echter geen schadelijke acties uit. Dit kan erop wijzen dat het hier gaat om een ​​proefrun van de infrastructuur voor het leveren van payloads of dat deze onbedoeld naar het register is gepusht, waarna er schadelijke code in is ingebouwd.

Deze ontwikkeling komt nadat het National Cyber ​​Security Center (NCSC) van Zuid-Korea waarschuwde voor cyberaanvallen door Noord-Koreaanse cybercriminelen, bekend onder de naam Andariel en Kimsuky, die malwarefamilies zoals Dora RAT en TrollAgent (ook bekend als Troll Stealer) verspreiden als onderdeel van inbraakcampagnes gericht op de bouw- en machinebouwsector in het land.

De Dora RAT-aanvalsreeks is opmerkelijk omdat de Andariel-hackers misbruik maakten van kwetsbaarheden in het software-updatemechanisme van een binnenlandse VPN-software om de malware te verspreiden.

Thijs Van der Does