Noord-Koreaanse hackers richten zich op ontwikkelaars met kwaadaardige npm-pakketten

Er is waargenomen dat cybercriminelen met banden met Noord-Korea een reeks schadelijke pakketten op het npm-register hebben gepubliceerd. Dit wijst op “gecoördineerde en meedogenloze” pogingen om ontwikkelaars met malware te targeten en cryptovaluta te stelen.

De laatste golf, die werd waargenomen tussen 12 en 27 augustus 2024, betrof pakketten met de namen temp-etherscan-api, ethersscan-api, telegram-con, helmet-validate en qq-console.

“Het gedrag in deze campagne doet ons vermoeden dat qq-console te wijten is aan de Noord-Koreaanse campagne ‘Contagious Interview'”, aldus Phylum, een bedrijf dat zich bezighoudt met de beveiliging van de softwaretoeleveringsketen.

Contagious Interview verwijst naar een doorlopende campagne die erop gericht is softwareontwikkelaars te compromitteren met informatie stelende malware als onderdeel van een vermeend sollicitatieproces. Hierbij worden ze ertoe verleid valse npm-pakketten of nep-installatieprogramma’s voor videoconferentiesoftware zoals MiroTalk te downloaden, die op valse websites worden gehost.

Het einddoel van de aanvallen is om een ​​Python payload genaamd InvisibleFerret te implementeren die gevoelige data kan exfiltreren van cryptocurrency wallet browser extensies en persistentie kan instellen op de host met behulp van legitieme remote desktop software zoals AnyDesk. CrowdStrike volgt de activiteit onder de naam Famous Chollima.

Het onlangs ontdekte helmet-validate-pakket hanteert een nieuwe aanpak doordat het een stukje JavaScript-code met de naam config.js insluit dat JavaScript rechtstreeks uitvoert dat op een extern domein (“ipcheck(.)cloud”) wordt gehost met behulp van de functie eval().

“Ons onderzoek heeft uitgewezen dat ipcheck(.)cloud verwijst naar hetzelfde IP-adres (167(.)88(.)36(.)13) als mirotalk(.)net toen het online was”, aldus Phylum, die mogelijke verbanden tussen de twee soorten aanvallen benadrukte.

Het bedrijf zei dat het ook een ander pakket genaamd sass-notification zag dat op 27 augustus 2024 werd geüpload en overeenkomsten vertoonde met eerder ontdekte npm-bibliotheken zoals call-blockflow. Deze pakketten zijn toegeschreven aan een andere Noord-Koreaanse dreigingsgroep genaamd Moonstone Sleet.

“Deze aanvallen worden gekenmerkt door het gebruik van verduisterde JavaScript om batch- en PowerShell-scripts te schrijven en uit te voeren,” aldus het rapport. “De scripts downloaden en decoderen een externe payload, voeren deze uit als een DLL en proberen vervolgens alle sporen van kwaadaardige activiteit op te schonen, waarbij een ogenschijnlijk onschuldig pakket op de machine van het slachtoffer achterblijft.”

Beroemde Chollima doet zich voor als IT-medewerkers bij Amerikaanse bedrijven

De onthulling komt nadat CrowdStrike Famous Chollima (voorheen BadClone) in verband bracht met insider threat-operaties waarbij bedrijfsomgevingen worden geïnfiltreerd onder het voorwendsel van legitieme werkgelegenheid.

“De beroemde Chollima voerde deze operaties uit door een contract of een fulltime equivalente baan te verkrijgen, waarbij ze vervalste of gestolen identiteitsdocumenten gebruikten om achtergrondcontroles te omzeilen,” aldus het bedrijf. “Bij het solliciteren naar een baan dienden deze kwaadwillende insiders een cv in met daarin doorgaans eerdere werkervaringen bij een prominent bedrijf, maar ook bij minder bekende bedrijven en zonder hiaten in de werkgelegenheid.”

Hoewel deze aanvallen voornamelijk financieel gemotiveerd zijn, zou een subset van de incidenten te maken hebben gehad met de exfiltratie van gevoelige informatie. CrowdStrike zei dat het de dreigingsactoren heeft geïdentificeerd die het afgelopen jaar solliciteerden naar of actief werkten bij meer dan 100 unieke bedrijven, waarvan de meeste zich onder andere bevinden in de VS, Saoedi-Arabië, Frankrijk, de Filipijnen en Oekraïne.

Sectoren die het vaakst worden beoogd, zijn onder meer technologie, fintech, financiële dienstverlening, professionele dienstverlening, detailhandel, transport, productie, verzekeringen, farmaceutische bedrijven, sociale media en mediabedrijven.

“Nadat ze toegang op werknemersniveau hadden verkregen tot slachtoffernetwerken, voerden de insiders minimale taken uit die verband hielden met hun functie,” aldus het bedrijf. In sommige gevallen probeerden de insiders ook gegevens te exfiltreren met behulp van Git, SharePoint en OneDrive.”

“Bovendien installeerden de insiders de volgende RMM-tools: RustDesk, AnyDesk, TinyPilot, VS Code Dev Tunnels en Google Chrome Remote Desktop. De insiders gebruikten deze RMM-tools vervolgens in combinatie met de netwerkreferenties van het bedrijf, waardoor meerdere IP-adressen verbinding konden maken met het systeem van het slachtoffer.”

Thijs Van der Does