Devam eden bulaşıcı röportaj kampanyasının arkasındaki Kuzey Kore tehdit aktörleri, Beaverail kötü amaçlı yazılımları ve yeni bir uzaktan erişim Truva (sıçan) yükleyici sunan daha kötü amaçlı paketler yayınlayarak NPM ekosistemine dokunaçlarını yayıyor.
Soket güvenlik araştırmacısı Kirill Boychenko bir raporda, “Bu en son örnekler, tehdit aktörlerinin şaşkınlık tekniklerinde bir varyasyona işaret ederek otomatik algılama sistemlerinden ve manuel kod denetimlerinden kaçınmak için onaltılık dize kodlama kullanıyor.” Dedi.
Söz konusu paketler, kaldırılmasından 5.600’den fazla toplu olarak indirilen paketler aşağıda listelenmiştir –
- Boş-Lay-Validator
- Twitterapis
- Dev-Debgger-Vite
- horlama
- Çekirdek -o
- Etkinlikler-Utils
- icloud kodlu
- CLN-Logger
- Düğüm tıkanıklığı
- konsolide-log
- Konsolidate-Logger
Açıklama, altı NPM paketinin bir setin, InvisibleFerret olarak adlandırılan bir python tabanlı arka kapı teslim edebilen bir JavaScript stealer olan Beaverail’in dağıtılmasının keşfedilmesinden yaklaşık bir ay sonra geliyor.
Kampanyanın nihai amacı, geliştirici sistemlerine bir iş görüşmesi süreci kisvesi altında sızmak, hassas verileri çalmak, finansal varlıkları sifonlamak ve tehlikeye atılan sistemlere uzun vadeli erişimi sürdürmektir.
Yeni tanımlanan NPM kütüphaneleri, Lazarus Grubu tarafından daha önce Aralık 2024’te bir kampanya kodlu Phantom Pisti tarafından kullanıldığı gibi, daha önce bir komut ve kontrol (C2) adresi kullanarak, bunlardan biri-Dev-Debugger-Vite-ile kamu hizmetleri ve hata ayıklayıcılar olarak maskelendi.
Bu paketleri öne çıkaran şey, etkinlikler-utils ve iCloud-kod gibi bazıları, GitHub’ın aksine Bitbucket depolarıyla bağlantılıdır. Ayrıca, iCloud-Pod paketinin “EIwork_hire” adlı bir dizinde barındırıldığı ve tehdit oyuncunun enfeksiyonu etkinleştirmek için görüşme ile ilgili temaları kullanmasını tekrarladığı bulunmuştur.
Paketlerin bir analizi olan CLN-Logger, düğüm tıkacı, konsolidate-log ve konsolidate-logger, ayrıca küçük kod seviyesi varyasyonlarını ortaya çıkardı, bu da saldırganların kampanyanın başarı oranını artırmak amacıyla birden fazla kötü amaçlı yazılım varyantları yayınladığını gösteriyor.
Değişikliklerden bağımsız olarak, dört paketin içine yerleştirilmiş kötü amaçlı kod, uzak bir sunucudan bir sonraki aşamalı yükü yayabilen bir uzaktan erişim Truva (sıçan) yükleyici olarak işlev görür.
Boychenko, “Bulaşıcı röportaj tehdidi aktörleri yeni NPM hesapları oluşturmaya ve NPM kayıt defteri, GitHub ve Bitbucket gibi platformlara kötü amaçlı kod dağıtmaya devam ediyor, kalıcılıklarını gösteriyor ve yavaşlama belirtisi göstermiyor.” Dedi.
“Gelişmiş Kalıcı Tehdit (APT) Grubu taktiklerini çeşitlendiriyor – yeni kötü amaçlı yazılımlar taze takma adlar altında yayınlamak, hem GitHub hem de Bitbucket depolarında yükler barındırma ve yeni gözlemlenen sıçan/yükleyici varyantının yanında Beaverail ve InvisibleFerret gibi çekirdek bileşenleri yeniden kullanma.”
Beavertail Drops Tropidoor
Açıklama, Güney Koreli siber güvenlik şirketi Ahnlab’ın Beaverail’i sağlayan işe alım temalı bir kimlik avı kampanyasını detaylandırdığı ve daha sonra daha önce belgelenmemiş bir Windows arka kapı kodlu Tropidoor’u dağıtmak için kullanıldığı için geliyor. Firma tarafından analiz edilen eserler, Beaverail’in Güney Kore’deki geliştiricileri aktif olarak hedeflemek için kullanıldığını gösteriyor.
Autosquare adlı bir şirketten olduğu iddia edilen e -posta mesajı, Bitbucket’te barındırılan bir projeye bir bağlantı içeriyordu ve alıcıyı programı anlamalarını gözden geçirmek için makinelerinde yerel olarak klonlamaya çağırdı.
Uygulama, Beaverail (“Tailwind.config.js”) ve bir DLL Downloader kötü amaçlı yazılım (“Car.dll”) içeren bir NPM kütüphanesinden başka bir şey değildir.
Tropidoor, dosyaları dışarı atmayı, sürücüyü ve dosya bilgilerini toplamayı ve dosyalamayı, ekran görüntülerini çalıştırmayı ve sonlandırmayı, ekran görüntülerini yakalamayı ve silin veya silinme talimatlarını almak için bir C2 sunucusuyla iletişim kurabilen “indirici aracılığıyla bellekte çalışan” bir arka kapıdır.
İmplantın önemli bir yönü, daha önce BlindingCan’ın (AKA Airdry aka zetanile) halefi olan Lightlesscan adlı başka bir Lazarus grubu kötü amaçlı yazılımında da gözlemlenen bir özellik olan Schtasks, Ping ve Reg gibi Windows komutlarını doğrudan uyguladığıdır.
Ahnlab, “Kullanıcılar sadece e -posta ekleri ile değil, aynı zamanda bilinmeyen kaynaklardan yürütülebilir dosyalarla da dikkatli olmalıdır.” Dedi.