Kuzey Kore’nin ‘bulaşıcı röportaj’ kampanyasının yeni bir dalgası, iş arayanları geliştiricilerin cihazlarını Infostealers ve arka kapılarla enfekte eden kötü niyetli NPM paketleri ile hedef alıyor.
Paketler, DPRK aktörleriyle ilişkili iki iyi belgelenmiş yük olan kurbanların makinelerine Beaverail Info-Stealer ve InvisibleFerret Backdoor’u yüklediklerini bildiren soket tehdit araştırmaları tarafından keşfedildi.
En son saldırı dalgası, 24 hesapla NPM’ye gönderilen 35 kötü amaçlı paket kullanıyor. Paketler toplam 4.000’den fazla kez indirildi ve altısı yazma sırasında mevcut.
35 kötü niyetli NPM paketinin birçoğu, iyi bilinen ve güvenilir kütüphaneleri yazdırıyor ve bu da onları özellikle tehlikeli hale getiriyor.
Bunların dikkate değer örnekleri:
- React-Plaine-SDK, Reactbootstraps
- Vite-Plugin-Next-Refresh, Vite Yükleyici-SVG
- düğüm
- jsonpacks, jsonspecic
- tebeşir
- Düğüm-Logger, *-logger
- Framer-Motion-Ext
- NextJs-Insight
- Struct-Logger, logbin-nodejs
Mağdurlar, tipik olarak yazılım mühendisleri ve geliştiricileri, bu paketleri işe alım görevlileri olarak poz veren Kuzey Koreli operatörler tarafından indirmeye yönlendirilir ve iş adaylarından bir test projesinde çalışmasını ister.
“LinkedIn’de işe alım görevlisi olarak poz veren Kuzey Kore tehdit aktörleri, Google Dokümanlar aracılığıyla geliştiricilere ve iş arayanlara kodlama” ödevleri “gönderir, bu kötü amaçlı paketleri proje içine yerleştirir ve genellikle adayları ekran paylaşımı sırasında kapsayıcı ortamların dışındaki kodu çalıştırmak için baskı yapar.”
Kaynak: soket
Ödevler Bitbucket’te barındırılır ve meşru testler olarak gizlenir, ancak gerçekte, hedefin bilgisayarına birden fazla yük bırakan bir enfeksiyon zincirini tetiklerler.
İlk aşama, ana bilgisayarı parmak izi veren NPM paketlerinde gizlenmiş olan Hexeval Loader’dır, tehdit oyuncusu ve kontrol (C2) sunucusuyla temasa geçer ve ikinci aşama yükünü almak ve yürütmek için ‘Değer ()’ kullanır.
Beaverail, çerezler ve kripto para cüzdanları dahil olmak üzere tarayıcı verilerini çalan ve üçüncü aşamayı InvisibleFerret’i yükleyen çok platformlu bir info-stealer ve kötü amaçlı yazılım yükleyicisidir.
InvisibleFerret, bir zip dosyası olarak teslim edilen platformlar arası kalıcı bir arka kapıdır ve saldırganlara uzaktan kumanda, dosya hırsızlığı ve ekran atma özellikleri ile kurbanın sistemine daha derin, sürekli erişim sağlar.
Son olarak, saldırganlar düşük seviyeli giriş olaylarına bağlanan ve gerçek zamanlı gözetim ve veri açığa çıkan platformlar arası (Windows, MacOS, Linux) keylogger aracı bırakır.
Bu KeyLogger sadece kampanyada kullanılan NPM takma adlarından biriyle ilişkilendirildi, bu nedenle yalnızca seçkin yüksek değerli hedeflere dağıtılabilir.
.jpg)
Kaynak: soket
Kazançlı uzaktan iş teklifleriyle yaklaşan yazılım geliştiricileri, bu davetiyeleri dikkatle ele almalı ve her zaman bilinmeyen kodları işletim sistemlerinde yürütmek yerine kapsayıcılarda veya sanal makinelerde çalıştırmalıdır.
Geçen Mart ayında, Kuzey Koreli bilgisayar korsanları Lazarus, NPM’de başka bir kötü amaçlı paket seti göndererek yakalandı, bu yüzden bu devam eden bir risk.
Yama, karmaşık senaryolar, uzun saatler ve sonsuz yangın tatbikatları anlamına gelir. Artık değil.
Bu yeni kılavuzda Tines, modern BT kuruluşlarının otomasyonla nasıl dengelendiğini bozuyor. Daha hızlı yama, ek yükü azaltın ve stratejik çalışmaya odaklanın – karmaşık komut dosyaları gerekmez.