Kuzey Kore bağlantılı tehdit aktörlerinin, npm kayıt defterine bir dizi kötü amaçlı paket yayınladığı gözlemlendi; bu durum, geliştiricileri kötü amaçlı yazılımlarla hedef almak ve kripto para varlıklarını çalmak için “koordineli ve amansız” çabaların göstergesi.
12-27 Ağustos 2024 tarihleri arasında gözlemlenen son dalga, temp-etherscan-api, ethersscan-api, telegram-con, helmet-validate ve qq-console adlı paketleri içeriyordu.
Yazılım tedarik zinciri güvenlik firması Phylum, “Bu kampanyadaki davranışlar, qq-console’un ‘Bulaşıcı Röportaj’ olarak bilinen Kuzey Kore kampanyasından kaynaklandığına inanmamıza yol açıyor” dedi.
Bulaşıcı Görüşme, yazılım geliştiricilerini, MiroTalk gibi sahte web sitelerinde barındırılan video konferans yazılımları için sahte npm paketleri veya sahte yükleyicileri indirmeleri için kandırmayı içeren sözde bir iş görüşmesi sürecinin parçası olarak bilgi çalan kötü amaçlı yazılımlarla tehlikeye atmayı amaçlayan devam eden bir kampanyayı ifade eder.
Saldırıların nihai hedefi, kripto para cüzdanı tarayıcı uzantılarından hassas verileri sızdırabilen ve AnyDesk gibi meşru uzak masaüstü yazılımlarını kullanarak ana bilgisayarda kalıcılık kurabilen InvisibleFerret adlı bir Python yükünü dağıtmaktır. CrowdStrike, etkinliği Famous Chollima takma adı altında izliyor.
Yeni gözlemlenen helmet-validate paketi, uzak bir etki alanında barındırılan JavaScript’i doğrudan yürüten config.js adlı bir JavaScript kod dosyası parçasını yerleştirerek yeni bir yaklaşım benimsiyor (“ipcheck[.]eval() fonksiyonunu kullanarak bulutu (“cloud”) oluşturun.
“Araştırmamız ipcheck’in[.]bulut aynı IP adresine (167) çözümleniyor[.]88[.]36[.]13) o mirotalk[.]Phylum, iki saldırı kümesi arasındaki olası bağlantıları vurgulayarak, “İnternet’in çevrimiçi olduğu zamana kadar çözüldüğünü” söyledi.
Şirket ayrıca 27 Ağustos 2024’te yüklenen ve call-blockflow gibi daha önce keşfedilen npm kütüphaneleriyle benzerlikler taşıyan sass-notification adlı başka bir paketi de gözlemlediğini söyledi. Bu paketler Moonstone Sleet adlı başka bir Kuzey Kore tehdit grubuna atfedildi.
“Bu saldırılar, toplu ve PowerShell betiklerini yazmak ve yürütmek için gizlenmiş JavaScript’i kullanmalarıyla karakterize edilir,” dedi. “Betikler, uzak bir yükü indirir ve şifresini çözer, bunu bir DLL olarak yürütür ve ardından kötü amaçlı etkinliğin tüm izlerini temizlemeye çalışır ve kurbanın makinesinde görünüşte zararsız bir paket bırakır.”
Ünlü Chollima, ABD Firmalarında BT Çalışanı Olarak Poz Veriyor
Açıklama, CrowdStrike’ın Famous Chollima’yı (eski adıyla BadClone) meşru istihdam bahanesiyle kurumsal ortamlara sızmayı içeren içeriden tehdit operasyonlarıyla ilişkilendirmesinin ardından geldi.
Şirket, “Ünlü Chollima, sözleşmeli veya tam zamanlı eşdeğer istihdam elde ederek, geçmiş kontrollerini atlatmak için sahte veya çalıntı kimlik belgeleri kullanarak bu operasyonları gerçekleştirdi,” dedi. “Bir işe başvururken, bu kötü niyetli içerdekiler genellikle tanınmış bir şirkette önceki istihdamın yanı sıra daha az bilinen ek şirketleri ve istihdam boşluğu olmayan bir özgeçmiş sundular.”
Bu saldırılar esas olarak finansal amaçlı olsa da, olayların bir alt kümesinin hassas bilgilerin sızdırılmasını içerdiği söyleniyor. CrowdStrike, geçtiğimiz yıl içerisinde 100’den fazla benzersiz şirkete başvuran veya aktif olarak bu şirketlerde çalışan tehdit aktörlerini tespit ettiğini söyledi; bunların çoğu ABD, Suudi Arabistan, Fransa, Filipinler ve Ukrayna’da bulunuyor.
Öne çıkan hedef sektörler arasında teknoloji, fintech, finansal hizmetler, profesyonel hizmetler, perakende, ulaşım, imalat, sigorta, ilaç, sosyal medya ve medya şirketleri yer alıyor.
Şirket ayrıca, “Kurban ağlarına çalışan düzeyinde erişim elde ettikten sonra, içeridekiler iş rolleriyle ilgili asgari görevleri yerine getirdiler,” dedi. Bazı durumlarda, içeridekiler ayrıca Git, SharePoint ve OneDrive kullanarak veri sızdırmaya çalıştılar.”
“Ek olarak, içeridekiler şu RMM araçlarını yüklediler: RustDesk, AnyDesk, TinyPilot, VS Code Dev Tunnels ve Google Chrome Remote Desktop. İçeridekiler daha sonra bu RMM araçlarını şirket ağı kimlik bilgileriyle birlikte kullandılar ve bu da çok sayıda IP adresinin kurbanın sistemine bağlanmasına izin verdi.”