Kuzey Kore bağlantılı tehdit aktörü olarak bilinen Aytaşı Karla karışık yağmur Windows sistemlerini enfekte etme amacıyla JavaScript paket kayıt defterine kötü amaçlı npm paketleri göndermeye devam ederek kampanyalarının kalıcılığını vurguladı.
Söz konusu paketler, harthat-api ve harthat-hash, Datadog Security Labs’a göre 7 Temmuz 2024’te yayınlandı. Her iki kütüphane de herhangi bir indirme çekmedi ve kısa bir süre sonra geri çekildi.
Bulut izleme firmasının güvenlik kolu, Stressed Pungsan adlı tehdit aktörüyle bağlantı kuruyor. Bu tehdit aktörü, Moonstone Sleet adı verilen yeni keşfedilen Kuzey Koreli kötü amaçlı etkinlik kümesiyle örtüşüyor.
“İsmi Hardhat npm paketine (bir Ethereum geliştirme aracı) benzese de, içeriğinde yazım yanlışı yapma niyeti yok,” diyor Datadog araştırmacıları Sebastian Obregoso ve Zack Allen. “Kötü amaçlı paket, 6.000’den fazla yıldız ve 500 çatala sahip node-config adlı iyi bilinen bir GitHub deposundan gelen kodu yeniden kullanıyor, npm’de config olarak bilinir.”
Saldırgan kolektif tarafından organize edilen saldırı zincirlerinin, sahte bir şirket adı veya serbest çalışan web siteleri altında LinkedIn üzerinden sahte ZIP arşiv dosyaları yaydığı ve olası hedefleri, sözde teknik beceri değerlendirmesinin bir parçası olarak bir npm paketini çağıran yükleri yürütmeye teşvik ettiği bilinmektedir.
“Yüklendiğinde, kötü amaçlı paket, aktör tarafından kontrol edilen bir IP’ye bağlanmak ve SplitLoader gibi ek kötü amaçlı yükler bırakmak için curl’ü kullandı,” Microsoft Mayıs 2024’te belirtti. “Başka bir olayda, Moonstone Sleet, LSASS’den kimlik bilgisi hırsızlığına yol açan kötü amaçlı bir npm yükleyicisi teslim etti.”
Checkmarx’ın daha sonraki bulguları, Moonstone Sleet’in de paketlerini npm kayıt defteri aracılığıyla yaymaya çalıştığını ortaya çıkardı.
Yeni keşfedilen paketler, package.json dosyasında belirtilen bir ön kurulum betiğini çalıştırmak üzere tasarlanmıştır; bu da, bir Windows sisteminde (“Windows_NT”) çalışıp çalışmadığını kontrol eder ve ardından harici bir sunucuyla (“142.111.77″) iletişim kurar.[.]196”) rundll32.exe ikili dosyasını kullanarak yan yükleme yapan bir DLL dosyasını indirmek için.
Sahte DLL ise herhangi bir kötü amaçlı eylemde bulunmuyor. Bu durum, ya yük dağıtım altyapısının denendiğini ya da kötü amaçlı kod yerleştirilmeden önce kayıt defterine yanlışlıkla yüklendiğini gösteriyor.
Gelişme, Güney Kore Ulusal Siber Güvenlik Merkezi’nin (NCSC), ülkedeki inşaat ve makine sektörlerini hedef alan saldırı kampanyalarının bir parçası olarak Dora RAT ve TrollAgent (diğer adıyla Troll Stealer) gibi kötü amaçlı yazılım ailelerini dağıtmak için Andariel ve Kimsuky olarak takip edilen Kuzey Koreli tehdit gruplarının düzenlediği siber saldırılar konusunda uyarıda bulunmasının ardından geldi.
Dora RAT saldırı dizisi, Andariel saldırganlarının kötü amaçlı yazılımı yaymak için yerel bir VPN yazılımının yazılım güncelleme mekanizmasındaki güvenlik açıklarından yararlanmaları nedeniyle dikkat çekicidir.