Valse npm-pakketten die worden gebruikt om softwareontwikkelaars te misleiden om malware te installeren

Een voortdurende social engineering-campagne richt zich op softwareontwikkelaars met valse npm-pakketten onder het mom van een sollicitatiegesprek om hen te misleiden zodat ze een Python-achterdeur downloaden.

Cybersecuritybedrijf Securonix volgt de activiteit onder de naam ONTWIKKEL#POPPERen koppelt het aan Noord-Koreaanse dreigingsactoren.

“Tijdens deze frauduleuze interviews wordt aan de ontwikkelaars vaak gevraagd taken uit te voeren waarbij software moet worden gedownload en uitgevoerd van bronnen die legitiem lijken, zoals GitHub”, aldus beveiligingsonderzoekers Den Iuzvyk, Tim Peck en Oleg Kolesnikov. “De software bevatte een kwaadaardige Node JS-payload die, eenmaal uitgevoerd, het systeem van de ontwikkelaar in gevaar bracht.”

Cyberbeveiliging

Details van de campagne kwamen voor het eerst naar voren eind november 2023, toen Palo Alto Networks Unit 42 een activiteitencluster met de naam Contagious Interview uiteenzette, waarin de bedreigingsactoren zich voordoen als werkgevers om softwareontwikkelaars ertoe te verleiden malware zoals BeaverTail en InvisibleFerret te installeren via het interviewproces.

Eerder dit jaar ontdekte softwareleverancier Phylum, een beveiligingsbedrijf voor de toeleveringsketen, een reeks kwaadaardige pakketten in het npm-register die dezelfde malwarefamilies leverden om gevoelige informatie van gecompromitteerde ontwikkelaarssystemen over te hevelen.

Het is de moeite waard om op te merken dat Contagious Interview losstaat van Operatie Dream Job (ook bekend als DeathNote of NukeSped), waarbij Unit 42 aan The Hacker News vertelt dat de eerste ‘gefocust is op het targeten van ontwikkelaars, voornamelijk via valse identiteiten in freelance vacaturesites, en de De volgende fasen omvatten het gebruik van ontwikkelaarstools en npm-pakketten die leiden tot […] BeaverTail en InvisibleFerret.”

Operatie Dream Job, gekoppeld aan de productieve Lazarus Group uit Noord-Korea, is een langlopende offensieve campagne die nietsvermoedende professionals werkzaam in verschillende sectoren zoals de lucht- en ruimtevaart, cryptocurrency, defensie en andere sectoren kwaadaardige bestanden verkleed als vacatures stuurt om malware te verspreiden.

Het werd voor het eerst ontdekt door het Israëlische cyberbeveiligingsbedrijf ClearSky begin 2020 en vertoont ook overlappingen met twee andere Lazarus-clusters, bekend als Operatie In(ter)ception en Operatie North Star.

De door Securonix beschreven aanvalsketen begint met een ZIP-archief dat wordt gehost op GitHub en dat waarschijnlijk als onderdeel van het interview naar het doelwit wordt gestuurd. In het bestand bevindt zich een ogenschijnlijk onschadelijke npm-module die een kwaadaardig JavaScript-bestand met de codenaam BeaverTail bevat dat fungeert als informatie-dief en als lader voor een Python-achterdeur genaamd InvisibleFerret die wordt opgehaald van een externe server.

Cyberbeveiliging

Het implantaat kan niet alleen systeeminformatie verzamelen, maar ook opdrachten uitvoeren, bestanden opsommen en exfiltreren, en klembord- en toetsaanslagen registreren.

De ontwikkeling is een teken dat Noord-Koreaanse dreigingsactoren doorgaan met het aanscherpen van een reeks wapens voor hun arsenaal aan cyberaanvallen, waarbij ze hun vak consequent bijwerken met verbeterde mogelijkheden om hun acties te verbergen en op te gaan in hostsystemen en netwerken, om nog maar te zwijgen van het overhevelen van gegevens en compromissen omzetten in financieel gewin.

“Als het gaat om aanvallen die hun oorsprong vinden via social engineering, is het van cruciaal belang om een ​​op veiligheid gerichte mentaliteit te behouden, vooral tijdens intense en stressvolle situaties zoals sollicitatiegesprekken”, aldus Securonix-onderzoekers.

“De aanvallers achter de DEV#POPPER-campagnes maken hier misbruik van, wetende dat de persoon aan de andere kant van de lijn zich in een zeer afgeleide en veel kwetsbare toestand bevindt.”

Thijs Van der Does