Bulaşıcı Röportaj kampanyasının arkasındaki Kuzey Koreli tehdit aktörleri, geçen aydan bu yana npm kayıt defterini 197 kötü amaçlı paketle daha doldurmaya devam etti.
Socket’e göre bu paketler 31.000’den fazla kez indirildi ve BeaverTail ile OtterCookie’nin önceki sürümlerinin özelliklerini bir araya getiren bir OtterCookie çeşidi sunmak üzere tasarlandı.
Tanımlanan “yükleyici” paketlerinden bazıları aşağıda listelenmiştir:
- bcryptjs düğümü
- çapraz oturumlar
- json-oauth
- düğüm noktası rüzgarı
- reaksiyon-adparser
- oturum koruyucusu
- arka rüzgar büyüsü
- kuyruk rüzgarı-formları
- webpack-loadcss
Kötü amaçlı yazılım, başlatıldığında sanal alanlardan ve sanal makinelerden kaçmaya çalışır, makinenin profilini çıkarır ve ardından saldırganlara uzak bir kabuk sağlamak için bir komut ve kontrol (C2) kanalı kurar ve bunun yanı sıra pano içeriğini çalma, tuş vuruşlarını kaydetme, ekran görüntüleri yakalama ve tarayıcı kimlik bilgilerini, belgeleri, kripto para birimi cüzdan verilerini ve tohum sözcüklerini toplama yeteneklerini de sağlar.
OtterCookie ve BeaverTail arasındaki belirsiz ayrımın, bir kullanıcının sahte bir iş görüşmesi sürecinin parçası olarak bir Node.js uygulamasını çalıştırması için kandırılmasının ardından merkezi Sri Lanka’da bulunan bir kuruluşla ilişkili bir sistemi etkileyen bir enfeksiyonla bağlantılı olarak geçen ay Cisco Talos tarafından belgelendiğini belirtmekte fayda var.
Daha ileri analizler, paketlerin sabit kodlu bir Vercel URL’sine (“tetrismic.vercel) bağlanmak üzere tasarlandığını belirledi[.]app”), daha sonra platformlar arası OtterCookie yükünü tehdit aktörü tarafından kontrol edilen GitHub deposundan almaya devam eder. Teslimat aracı olarak hizmet veren stardev0914 GitHub hesabına artık erişilemez.
Güvenlik araştırmacısı Kirill Boychenko, “Bu sürekli tempo, Contagious Interview’ı npm’den yararlanan en verimli kampanyalardan biri haline getiriyor ve Kuzey Koreli tehdit aktörlerinin araçlarını modern JavaScript ve kripto merkezli geliştirme iş akışlarına ne kadar kapsamlı şekilde uyarladıklarını gösteriyor” dedi.
Bu gelişme, tehdit aktörleri tarafından oluşturulan sahte değerlendirme temalı web sitelerinin, kamera veya mikrofon sorunlarını düzeltme bahanesi altında GolangGhost (diğer adıyla EsnekFerret veya WeaselStore) olarak adlandırılan kötü amaçlı yazılımları dağıtmak için ClickFix tarzı talimatlardan yararlanmasıyla ortaya çıktı. Etkinlik, ClickFake Röportajı adı altında izleniyor.
Go’da yazılan kötü amaçlı yazılım, sabit kodlu bir C2 sunucusuyla bağlantı kurar ve sistem bilgilerini toplamak, dosyaları yüklemek/indirmek, işletim sistemi komutlarını çalıştırmak ve Google Chrome’dan bilgi toplamak için kalıcı bir komut işleme döngüsüne girer. Kalıcılık, kullanıcı oturum açtığında otomatik olarak bir kabuk komut dosyası aracılığıyla yürütülmesini tetikleyen bir macOS LaunchAgent yazılarak elde edilir.
Saldırı zincirinin bir parçası olarak, hileyi sürdürmek için sahte bir Chrome kamera erişim istemi görüntüleyen bir tuzak uygulaması da yüklendi. Ardından, kullanıcı tarafından girilen içeriği yakalayan ve bunu bir Dropbox hesabına gönderen Chrome tarzı bir şifre istemi sunar.
Validin, “Bazı örtüşmeler olmasına rağmen, bu kampanya, aktörleri sahte kimlikler altında meşru işletmelere yerleştirmeye odaklanan diğer Kuzey Kore BT Çalışanları planlarından farklıdır.” dedi. “Bunun aksine, Bulaşıcı Mülakat, aşamalı işe alım hatları, kötü niyetli kodlama uygulamaları ve hileli işe alım platformları yoluyla bireyleri tehlikeye atmak ve iş başvuru sürecini silah haline getirmek için tasarlandı.”