Aktor -aktor ancaman Korea Utara di balik kampanye wawancara menular yang sedang berlangsung menyebarkan tentakel mereka di ekosistem NPM dengan menerbitkan lebih banyak paket jahat yang memberikan malware Beavertail, serta loader Trojan (RAT) RATOTE ACCESS REMOTE baru.
“Sampel terbaru ini menggunakan pengkodean string heksadesimal untuk menghindari sistem deteksi otomatis dan audit kode manual, menandakan variasi dalam teknik pengayaan aktor ancaman,” kata peneliti keamanan soket Kirill Boychenko dalam sebuah laporan.
Paket yang dimaksud, yang secara kolektif diunduh lebih dari 5.600 kali sebelum penghapusannya, tercantum di bawah ini –
- Validator-empuk-kirim
- Twitterapis
- dev-debugger-vite
- SNORE-LOG
- inti-pino
- Acara-utils
- iCloud-cod
- CLN-LOGGER
- Node-CLOG
- Konsolidasi-log
- Konsolidasi-Logger
Pengungkapan itu datang hampir sebulan setelah satu set enam paket NPM ditemukan mendistribusikan Beavertail, pencuri JavaScript yang juga mampu memberikan backdoor yang dijuluki Python yang dijuluki Invisible.
Tujuan akhir dari kampanye ini adalah untuk menyusup ke sistem pengembang dengan kedok proses wawancara kerja, mencuri data sensitif, aset keuangan siphon, dan mempertahankan akses jangka panjang ke sistem yang dikompromikan.
Perpustakaan NPM yang baru diidentifikasi menyamar sebagai utilitas dan debugger, dengan salah satu dari mereka-dev-debugger-vite-menggunakan alamat dan kontrol perintah-dan-kontrol (C2) yang sebelumnya ditandai oleh SecurityScorecard seperti yang digunakan oleh grup Lazarus dalam kampanye yang diberi kode sirkuit hantu pada bulan Desember 2024.
Apa yang membuat paket-paket ini menonjol adalah beberapa dari mereka, seperti acara-util dan iCloud-cod, terkait dengan repositori Bitbucket, yang bertentangan dengan GitHub. Selain itu, paket iCloud-cod telah ditemukan diselenggarakan dalam direktori bernama “EIWork_hire,” mengulangi penggunaan tema terkait wawancara terkait dengan aktor ancaman untuk mengaktifkan infeksi.
Analisis paket, CLN-logger, node-clog, consolidate-log, dan konsolidasi-pencerahan, juga telah mengungkap variasi tingkat kode minor, yang menunjukkan bahwa para penyerang menerbitkan beberapa varian malware dalam upaya untuk meningkatkan tingkat keberhasilan kampanye.
Terlepas dari perubahan, kode jahat yang tertanam dalam fungsi empat paket sebagai loader Trojan (tikus) yang mampu menyebarkan muatan tahap berikutnya dari server jarak jauh.
“Aktor ancaman wawancara yang menular terus membuat akun NPM baru dan menggunakan kode berbahaya di seluruh platform seperti NPM Registry, GitHub, dan Bitbucket, menunjukkan kegigihan mereka dan tidak menunjukkan tanda -tanda melambat,” kata Boychenko.
“Kelompok Ancaman Persisten Advanced (APT) mendiversifikasi taktiknya – menerbitkan malware baru di bawah alias baru, menampung muatan baik di repositori GitHub dan Bitbucket, dan menggunakan kembali komponen inti seperti Beavatail dan Invisibleferret di samping varian tikus/loader yang baru diamati.”
Beavertail Drops Tropidoor
Pengungkapan itu datang ketika perusahaan cybersecurity Korea Selatan Ahnlab merinci kampanye phishing bertema perekrutan yang memberikan Beavertail, yang kemudian digunakan untuk menggunakan Tropidoor Windows Backdoor yang sebelumnya tidak berdokumen. Artefak yang dianalisis oleh perusahaan menunjukkan bahwa Beavertail digunakan untuk secara aktif menargetkan pengembang di Korea Selatan.
Pesan email, yang mengklaim berasal dari perusahaan bernama AutoSquare, berisi tautan ke proyek yang diselenggarakan di Bitbucket, mendesak penerima untuk mengkloning proyek secara lokal di mesin mereka untuk meninjau pemahaman mereka tentang program tersebut.
Aplikasi ini tidak lain adalah perpustakaan NPM yang berisi Beavertail (“tailwind.config.js”) dan malware pengunduh DLL (“car.dll”), yang terakhir diluncurkan oleh pencuri dan loader Javascript.
Tropidoor adalah backdoor “yang beroperasi dalam memori melalui pengunduh” yang mampu menghubungi server C2 untuk menerima instruksi yang memungkinkan untuk mengeksfiltrasi file, mengumpulkan informasi drive dan mengajukan, menjalankan dan menghentikan proses, menangkap tangkapan layar, dan menghapus atau menghapus file dengan overwriting dengan data null atau junk.
Aspek penting dari implan adalah bahwa ia secara langsung mengimplementasikan perintah Windows seperti schtasks, ping, dan reg, fitur yang sebelumnya juga diamati dalam malware grup Lazarus lain yang disebut LightlessCan, itu sendiri sebagai penerus buta (alias udara alias Zetanile).
“Pengguna harus berhati -hati tidak hanya dengan lampiran email tetapi juga dengan file yang dapat dieksekusi dari sumber yang tidak diketahui,” kata Ahnlab.
