Veracode Tehdit Araştırması, daha önce Şubat ve Haziran 2024’te bildirilen kampanyalara dayanarak gelişmeye devam eden sofistike bir Kuzey Kore kripto para hırsızlığı operasyonunu ortaya çıkardı.
Bu en son yineleme, otomatik izleme sistemleri tarafından işaretlenen ve daha sonra NPM kayıt defterinden çıkarılan Cloud-İkili, JSON-Cookie-CSV, CloudMedia ve NodeMailer-Genhancer dahil olmak üzere on iki kötü niyetli NPM paketini içerir.
Yaptırım faaliyetlerini finanse etmeyi amaçlayan devlet destekli aktörler olduğundan şüphelenilen saldırganlar, sahte geliştirici işleri sunan işe alım görevlilerini taklit ediyor.
Simüle edilmiş görüşmeler sırasında, kurbanlar, gizli kötü amaçlı yazılımları yürüten birim testleri gibi kodlama egzersizlerinin bir parçası olarak bu paketleri kurmaya kandırılır.
Bu taktik, kripto para birimi cüzdan verilerini, tarayıcı uzantısı kimlik bilgilerini ve geliştiricilerin makinelerinden diğer hassas dosyaları sunan ve potansiyel olarak kurumsal ağ ihlallerini mümkün kılan yükleri dağıtmak için işe alım sürecine olan güveni kullanır.

Sahte iş görüşmeleri yoluyla geliştiricileri hedefler
Beavertail ailesinin varyantları olarak tanımlanan kötü amaçlı yazılım, gelişmiş gizleme ve şifreleme teknikleri kullanır ve yükler genellikle lisanslar veya analiz komut dosyaları gibi zararsız dosyalarda gizlenir.
Örneğin, bulut ikili (meşru bulut paketinin bir yazım hatası) içinde, bir sonrası kanca, AES-256 şifreli bir yükü çözen bir işlemi tetikler ve Sabit bir anahtar ve IV kullanarak şifreli bir yükü şifreleyen, gizlenmiş JavaScript’i ortaya çıkarır.
Bu kod, Windows, MacOS ve Linux üzerindeki platformlar arası işlemleri destekler, Kripto ile ilgili tarayıcı uzantılarını (örn. Metamask, Phantom) kimliklerine göre aramadan önce işletim sistemi türü, kullanıcı adı ve platform gibi sistem ayrıntılarını numaralandırır.
Belgeler, PDF’ler, ekran görüntüleri ve MACOS anahtarlık verilerinin yanı sıra özel anahtarlar ve tohum cümleleri içeren .log ve .ldb veritabanları gibi dosyaları toplar ve dışarı atar.
Ek özellikler arasında, komut ve kontrol (C2) sunucularından Curl üzerinden ikinci aşama yükleri indirmek, http://144.172.105.235:1224/client/5346/324 gibi uç noktalardan alınmış keyfi python komut dosyalarının yürütülmesi ve uzaktan kabuk komutu yürütmesi için WebSoccl bağlantıları oluşturulması yer alır.
Paylaşılan altyapı saldırgan bağlantılarını ortaya çıkarır
Araştırmalar, bir ~/.N3 dizininin oluşturulması gibi paketler arasında kod benzerliklerini ortaya çıkardı, bu da bunun kötü amaçlı yazılımların 3 sürümü olduğunu gösteriyor.
1224 gibi bağlantı noktaları da dahil olmak üzere şifreleme anahtarları ve C2 altyapısı yeniden kullanılır ve bunları önceki saldırılara bağlar.
Varyantlar karmaşıklık açısından farklılık gösterir: NodEdailer-Genencer gibi, yüksek entropi anahtarlarla şifreli altıgen kodlu lisans dosyalarındaki yükleri gizlerken, JSON-Cookie-CSV gibi diğerleri yedekleme C2 sunucuları ve ek kalabalık javascript almak için talepleri içerir. https://api.npoint.io/e5a5e32cdf9bfe7d2386, kampanya bayrakları içerir.
İlginç bir şekilde, bazı yükler, birden fazla aktörün veya dahili rekabetin olası katılımını ima eden alaycı mesajlar içerir. Veracode’un paket güvenlik duvarı çoğu paketi önleyici olarak engelledi ve NPM’ye bildirimler kaldırılmalarını sağladı.
Bu kampanya, saldırganların kripto holdingleri ve kurumsal sırlar gibi yüksek değerli varlıkları hedeflemek için tedarik zinciri güvenlik açıklarından yararlandığı açık kaynaklı ekosistemlerdeki risklerin altını çiziyor.
Uzlaşma Göstergeleri (IOCS)
Gösterge | Tanım |
---|---|
http://144.172.105.235:1224 | C2 #1 |
http://45.61.128.61:1224 | C2 #2 |
http://144.172.106.7:1224 | C2 #3 |
http://144.172.109.98:1224 | C2 #4 |
http://144.172.104.10:1224 | C2 #5 |
http://45.61.165.45:1224 | C2 #6 |
http://45.61.150.67:1224 | C2 Yedekleme |
http://135.181.123.177 | C2 WebSocket #1 |
http://95.216.46.218 | C2 WebSocket #2 |
https://api.npoint.io/e5a5e32cdf9bfe7d2386 | C2 Axios isteği |
f11e5d193372b6986b733c0367ed2311f732b94b0792205234a3298f5e87 | SHA256 Şifresi çözülmüş bulut ikili ve CloudMedia yükü yükü |
Find this News Interesting! Follow us on Google News, LinkedIn, and X to Get Instant Updates!