Los investigadores de ciberseguridad han descubierto lotes frescos de paquetes de NPM maliciosos vinculados a una operación de entrevista infecciosa en curso que surgió de Corea del Norte.
Según Socket, los ataques de la cadena de suministro en curso incluyen 35 paquetes maliciosos cargados de cuentas de 24 npm. Estos paquetes se han descargado colectivamente más de 4,000 veces. La lista completa de las bibliotecas de JavaScript se puede encontrar a continuación –
React-plaid-sdk sumsub-nodo-websdk vite-plugin-nexte-resfresh-plugin-purify Flexible – Logan Beautiful Plugin Choke Configuración Jsonpacks Router Pulse
De estos, seis continúan disponibles para descargar desde NPM: React-Plaid-SDK, SumSub-Node-WebsDK, Vite-Plugin-Next-Refresh, Vite-Loader-SVG, Node-Gorm-Mongoose y Router-Parse.
Cada paquete NPM identificado contiene un cargador hexadecimal llamado HexeVal. Está diseñado para recopilar instalaciones de información del host y proporcionar selectivamente una carga útil de seguimiento responsable de entregar robos de JavaScript conocidos llamados Beaverail.
Beaverail está configurado para descargar y ejecutar una puerta trasera de Python llamada InvisibleFerret, lo que permite a los actores de amenaza recopilar datos confidenciales y establecer control remoto para hosts infectados.
«Esta estructura de muñecas de anidación ayuda a la campaña a evitar escáneres estáticos básicos y revisiones manuales», dijo el investigador de Socket Kirill Boychenko. «Un alias de NPM también envía un paquete de keylogger multiplataforma que captura todas las pulsaciones de teclas, lo que indica la preparación de los actores de amenaza para coordinar las cargas útiles para una vigilancia más profunda cuando el objetivo lo garantiza».
La entrevista con infecciosidad, publicada por primera vez a fines de 2023 por Palo Alto Networks Unit 42, es una campaña en curso realizada por actores de amenaza patrocinados por el estado de Corea del Norte para obtener acceso no autorizado a los sistemas de desarrolladores con el objetivo de llevar a cabo criptomonedas y robo de datos.
Este clúster también está ampliamente rastreado bajo Monika CL-STA-0240, Velato Deceptived, Dev #Popper, Famous Cholima, Gwishin Gang, Tenacious Punsan, UNC5342 y NVOID DOKKAEBI.
También se ha observado que las iteraciones recientes de la campaña utilizan Tácticas de Ingeniería Social de ClickFix para proporcionar malware como Golangghost y Pylanggost. Un subcluster de esta actividad se llama entrevista de ClickFake.
Los últimos hallazgos de Socket sean enfoques multifacéticos en los que los actores de amenaza de Pyongyang se burlan de los objetivos futuros para instalar malware bajo el pretexto de entrevistas y reuniones de zoom.
La derivación de NPM de entrevistas infecciosas generalmente envía a los atacantes que codifican a los solicitantes de empleo y a los desarrolladores compartiendo enlaces a proyectos maliciosos alojados en GitHub o Bitbucket.
«Se dirigen a ingenieros activos de software de caza de empleo y usan mal la confianza que los solicitantes de empleo suelen colocar en los reclutadores», dice Boychenko. «Las personas falsas a menudo comienzan a comunicarse con mensajes de divulgación con guiones y explicaciones persuasivas del trabajo».
Las víctimas son clonadas y realizadas fuera del entorno contenedorizado durante la clonación de este proyecto y el proceso de entrevista entrevistado.
«Esta campaña maliciosa destaca las marcas registradas en los ataques de la cadena de suministro de Corea del Norte, una combinación de puesta en escena de malware, orientación social y ingeniería social para comprometer a los desarrolladores a través de un ecosistema confiable», dijo Sockett.
«Al incorporar cargadores de malware como Hexival en paquetes de código abierto, asignar trabajos falsos, obstaculizar las defensas perimetrales para atacar a los actores de amenaza y obtener la ejecución en el sistema del desarrollador objetivo. Intenta evitar la estructura de varias etapas de la campaña, la huella mínima en el registro y los entornos contenedores.
Source link
