Bulaşıcı görüşme kampanyasıyla bağlantılı Kuzey Koreli tehdit aktörleri, NPM kayıt defterine 67 kötü amaçlı paketin başka bir seti yayınladığı ve açık kaynak ekosistemini yazılım tedarik zinciri saldırıları yoluyla zehirlemek için devam eden girişimlerin altını çizdiği gözlemlendi.
Soket başına paketler, 17.000’den fazla indirme çekti ve daha önce belgelenmemiş bir kötü amaçlı yazılım yükleyicisinin daha önce belgelenmemiş bir sürümünü içeriyor Xorindex. Etkinlik, geçen ay benekli bir saldırı dalgasının genişlemesidir ve 35 npm paketin dağıtımını içeren, Hexeval olarak adlandırılan başka bir yükleyiciyi dağıtmaktadır.
Soket araştırmacısı Kirill Boychenko, “Bulaşıcı röportaj operasyonu, savunucuların kötü niyetli paketleri algıladığı ve rapor ettiği bir mol dinamik izlemeye devam ediyor ve Kuzey Kore tehdit aktörleri aynı, benzer veya biraz gelişmiş oyun kitaplarını kullanarak yeni varyantları yükleyerek hızla yanıt veriyor.” Dedi.
Bulaşıcı röportaj, geliştiricileri iddia edilen bir kodlama ödevinin bir parçası olarak açık kaynaklı bir projeyi indirmeye ve yürütmeye ikna etmeye çalışan uzun süredir devam eden bir kampanyaya atanan isimdir. İlk olarak 2023’ün sonlarında kamuya açıklanan tehdit kümesi, aldatıcı geliştirme, ünlü chollima, gwisin çetesi, inatous pungsan, unc5342 ve void dokebi olarak da izlenir.
Etkinliğin, Pyongyang’ın rezil uzaktan bilgi teknolojisi (BT) işçi planını tamamladığına inanılmaktadır ve iş başvurusu yapmak yerine ilgi alan şirketlerde zaten istihdam edilen geliştiricileri hedefleme stratejisini benimsemektedir.
Kötü niyetli NPM paketleri kullanan saldırı zincirleri, daha sonra web tarayıcılarından ve kripto para cüzdanlarından veri çıkarmak için kullanılan bilinen bir JavaScript yükleyici ve Beaverail adlı stealer için bir kanal görevi gördükleri için oldukça basittir.
Boychenko, “İki kampanya şimdi paralel olarak faaliyet gösteriyor. Xorindex kısa bir pencerede (Haziran – Temmuz 2025) 9.000’den fazla indirme biriktirirken, Hexeval yeni keşfedilen paketlerde 8.000’den fazla ek indirme ile sabit bir hızda devam ediyor.” Dedi.
XorIndex yükleyici, Hexeval gibi, uzlaşmış makineyi profesler ve ana bilgisayarın harici IP adresini elde etmek için sabit kodlu komut ve kontrol (C2) altyapısı ile ilişkili uç noktaları kullanır. Toplanan bilgiler daha sonra uzak bir sunucuya işaretlenir, ardından Beaverail başlatılır.
Bu paketlerin daha fazla analizi, bir çıplak kemik prototipinden sofistike, daha kapsamlı bir kötü amaçlı yazılımlara ilerleyerek yükleyicinin sabit bir evrimini ortaya çıkarmıştır. İlk yinelemelerin, temel işlevlerini sağlam tutarken, ikinci ve üçüncü nesil versiyonların temel sistem keşif yeteneklerini getirdiği, erken yinelemelerin şaşkınlık ve keşif yeteneklerinde eksik olduğu bulunmuştur.
Boychenko, “Bulaşıcı mülakat tehdidi aktörleri kötü amaçlı yazılım portföylerini çeşitlendirmeye, yeni NPM koruyucu takma adları boyunca dönerek, hekseval yükleyici ve Beavertail ve InvisibleFerret gibi kötü amaçlı yazılım aileleri gibi yükleyicileri yeniden kullanmaya ve Xorindex yükleyici de dahil olmak üzere yeni gözlemlenen varyantları aktif olarak dağıtmaya devam edecek.” Dedi.