Siber güvenlik araştırmacıları, Kuzey Kore’den gelen devam eden bulaşıcı görüşme operasyonuna bağlı yeni bir grup kötü amaçlı NPM paketini ortaya çıkardılar.
Sokete göre, devam eden tedarik zinciri saldırısı, 24 NPM hesaplarından yüklenen 35 kötü amaçlı paket içerir. Bu paketler toplu olarak 4.000’den fazla indirildi. JavaScript kütüphanelerinin tam listesi aşağıdadır –
- Tepe-Çizgi SDK
- sumsub-node-websdk
- Vite-Plugin-Next-Refresh
- Vite-plugin-Purify
- NextJs-Insight
- Know-Plug-in-swans
- Düğüm Loggers
- tepki
- Reactbootstraps
- Framer-Motion-Ext
- ServerLog-Dispatch
- Mongourlog
- Sonraki log-Patcher
- Vite-Plugin-Tools
- Yüzde
- Test-Topdev-Logger-V1
- Test-Topdev-Logger-V3
- Server-log-motor
- logbin-nodejs
- Vite yükleyici-SVG
- yapı
- esnek logger
- Güzel-Plugins
- tebeşir
- jsonpacks
- JSONSPECIFIC
- Jessecs
- tamponlar
- bulanık plugin
- pikişli
- düğüm
- Önceden Konfig
- kullanım-videolar
- Lucide düğümü ve
- yönlendirici
Bunlardan altısı, NPM’den indirilebilir: React-Plaid-SDK, Sumsub-Node-WebsDK, Vite-Plugin-Next-Refresh, Vite-Loader-SVG, Düğüm-Am-Montaj ve Yönlendirici-Parse.
Belirlenen NPM paketlerinin her biri, ana bilgisayar bilgilerini yüklemek için tasarlanmış ve Beaverail adlı bilinen bir JavaScript stealer’ı teslim etmekten sorumlu bir takip yükü sunmak için tasarlanmış Hexeval dublajlı bir onaltılık yükleyici içerir.
Beaverail, sırayla, InvisibleFerret adlı bir Python arka kapısını indirip yürütecek şekilde yapılandırılmıştır, bu da tehdit aktörlerinin hassas verileri toplamasını ve enfekte konakçıların uzaktan kontrolünü oluşturmasını sağlar.
Soket araştırmacısı Kirill Boychenko, “Bu yuvalama-dos yapısı kampanyanın temel statik tarayıcılardan ve manuel incelemelerden kaçmasına yardımcı oluyor.” Dedi. “Bir NPM takma adı ayrıca, her tuş vuruşunu yakalayan platformlar arası bir Keylogger paketi gönderdi ve tehdit aktörlerinin hedefi garanti ettiğinde daha derin gözetim için yükleri uyarlamaya hazır olduğunu gösterdi.”
İlk olarak 2023’ün sonlarında Palo Alto Networks Birimi 42 tarafından kamuya açıklanan bulaşıcı röportaj, Kuzey Kore devlet destekli tehdit aktörleri tarafından kripto para birimi ve veri hırsızlığı yapmak amacıyla geliştirici sistemlerine yetkisiz erişim elde etmek için devam eden bir kampanyadır.
Küme ayrıca Cl-Sta-0240, Alınan Geliştirme, Dev#Popper, ünlü Chollima, Gwisin Gang, İnatçı Pungsan, UNC5342 ve VOID DOKKAEBI olarak da geniş bir şekilde izlenir.
Kampanyanın son yinelemelerinin, Golangghost ve Pylangghost gibi kötü amaçlı yazılımlar sunmak için ClickFix Sosyal Mühendislik taktikinden yararlandığı da gözlenmiştir. Bu aktivite alt kümesi, tıklama paketi röportajı olarak adlandırılmıştır.
Socket’ten gelen son bulgular, Pyongyang tehdit aktörlerinin, bir röportaj veya zoom toplantısı bahanesi altında kötü amaçlı yazılım kurmak için potansiyel hedefleri kandırmak için çeşitli yöntemleri kucakladığı çok yönlü bir yaklaşıma.
Bulaşıcı röportajın NPM’sinde, genellikle LinkedIn’de işe alım görevlisi olarak poz veren saldırganları, iş arayanları ve geliştiricileri, GitHub veya Bitbucket’te barındırılan kötü amaçlı bir projeye bağlantı paylaşarak, NPM paketlerini yerleştiren bir bağlantı paylaşarak gönderir.
Boychenko, “Aktif olarak iş avcısı olan yazılım mühendislerini hedefliyorlar, iş arayanların tipik olarak işe alımcılara verdiği güvenden yararlanıyorlar.” Dedi. “Sahte kişiler, genellikle senaryo senaryosu mesajları ve ikna edici iş tanımları ile teması başlatır.”
Mağdurlar daha sonra iddia edilen görüşme süreci sırasında bu projeleri konteyner ortamlarının dışında klonlamaya ve yürütmeye çalıştırılır.
Socket, “Bu kötü niyetli kampanya, Kuzey Kore tedarik zinciri saldırılarında gelişen bir tradecraft’ı vurgulamaktadır, bu da kötü amaçlı yazılım evrelemesini, OSINT odaklı hedeflemeyi ve sosyal mühendisliği güvenilir ekosistemler aracılığıyla uzlaştırmak için birleştiriyor.” Dedi.
“Hexeval gibi kötü amaçlı yazılım yükleyicilerini açık kaynak paketlerine yerleştirerek ve sahte iş ödevleri aracılığıyla teslim ederek, tehdit aktörleri çevre savunmalarını ortadan kaldırarak ve hedeflenen geliştiricilerin sistemleri üzerinde yürütme kazanarak. Kampanyanın çok aşamalı yapısı, asgari düzeyde düzenli ayak izi ve konteyner ortamlarından kaçınmaya çalışırken, gerçek zamanlı intransiyon yöntemlerini gerçek zamanlı olarak tanıtmaktadır.”