Eylül 2024’te npm kayıt defterinde yayınlanan üç kötü amaçlı paketin, Bulaşıcı Röportaj olarak izlenen devam eden bir Kuzey Kore kampanyasıyla bağlantılı bir JavaScript indiricisi ve bilgi hırsızı olan BeaverTail adlı bilinen bir kötü amaçlı yazılım içerdiği tespit edildi.
Datadog Güvenlik Araştırma ekibi, etkinliği şu adla izliyor: İnatçı PungsanCL-STA-0240 ve Famous Chollima takma adlarıyla da bilinir.
Artık paket kayıt defterinden indirilemeyen kötü amaçlı paketlerin adları aşağıda listelenmiştir:
- pasaportlar-js, pasaportun arka kapı kopyası (118 indirme)
- bcrypts-js, bcryptjs’in arka kapılı kopyası (81 indirme)
- Blockscan-api, eterscan-api’nin arka kapılı kopyası (124 indirme)
Bulaşıcı Röportaj, Kore Demokratik Halk Cumhuriyeti (DPRK) tarafından yürütülen ve geliştiricilerin bir kodlama testinin parçası olarak kötü amaçlı sayfaları veya görünüşte zararsız video konferans uygulamalarını indirmeleri için kandırmayı içeren bir yıl süren bir kampanyayı ifade eder. İlk kez Kasım 2023’te ortaya çıktı.
Bu, tehdit aktörlerinin BeaverTail’i dağıtmak için npm paketlerini ilk kez kullanmaları değil. Ağustos 2024’te, yazılım tedarik zinciri güvenlik firması Phylum, BeaverTail’in ve InvisibleFerret adlı bir Python arka kapısının dağıtımının önünü açan başka bir grup npm paketini açıkladı.
O dönemde tespit edilen kötü amaçlı paketlerin isimleri temp-etherscan-api, etersscan-api, telegram-con, kask-validate ve qq-console idi. İki paket paketinde ortak olan yönlerden biri, tehdit aktörlerinin eterscan-api paketini taklit etme çabalarının devam etmesi, bu da kripto para birimi sektörünün kalıcı bir hedef olduğunun sinyalini veriyor.
Daha sonra geçen ay Stacklok, kripto para birimlerini toplamak ve güvenliği ihlal edilmiş geliştirici makinelerine kalıcı erişim sağlamak için tasarlanmış yeni bir sahte paket dalgası (eslint-module-conf ve eslint-scope-util) tespit ettiğini söyledi.
Palo Alto Networks Birim 42, bu ayın başlarında The Hacker News’e verdiği demeçte, kampanyanın, iş arayanların çevrimiçi fırsatlara başvururken güvenini ve aciliyetini istismar ederek kötü amaçlı yazılım dağıtmanın etkili bir yolu olduğunu kanıtladığını söyledi.
Bulgular, tehdit aktörlerinin açık kaynaklı yazılım tedarik zincirini, alt hedeflere bulaşmak için bir saldırı vektörü olarak nasıl giderek daha fazla kötüye kullandıklarını ortaya koyuyor.
Datadog, “Meşru npm paketlerini kopyalamak ve arka kapı açmak, bu ekosistemdeki tehdit aktörlerinin ortak taktiği olmaya devam ediyor” dedi. “Bu kampanyalar ve daha geniş anlamda Bulaşıcı Röportajlar, bireysel geliştiricilerin Kuzey Kore bağlantılı tehdit aktörleri için değerli hedefler olmaya devam ettiğini vurguluyor.”