Primijećeni su hakeri povezani sa Sjevernom Korejom kako objavljuju skup malicioznih paketa u npm registru, što ukazuje na “koordinirane i nemilosrdne” napore da se programeri ciljaju sa malicioznim softverom i ukradu imovinu kriptovaluta.
Najnoviji talas, koji je primećen između 12. i 27. avgusta 2024. godine, uključivao je pakete pod nazivom temp-etherscan-api, ethersscan-api, telegram-con, helmet-validate i qq-console.
“Ponašanje u ovoj kampanji navodi nas da vjerujemo da se qq-konzola može pripisati sjevernokorejskoj kampanji poznatoj kao ‘Zarazni intervju'”, rekla je firma za sigurnost lanca nabave softvera Phylum .
Contagious Interview odnosi se na tekuću kampanju koja nastoji narušiti programere softvera s informacijama koje kradu maliciozni softver kao dio navodnog procesa razgovora za posao koji uključuje prevariti ih da preuzmu lažne npm pakete ili lažne instalatere softvera za video konferencije kao što je MiroTalk koji se hostuje na web stranicama za mamce.
Krajnji cilj napada je implementacija Python korisnog opterećenja pod nazivom InvisibleFerret koji može eksfiltrirati osjetljive podatke iz ekstenzija pretraživača novčanika kriptovaluta i podesiti postojanost na hostu pomoću legitimnog softvera za udaljenu radnu površinu kao što je AnyDesk. CrowdStrike prati aktivnost pod imenom Famous Chollima.
Novouočeni paket helmet-validate usvaja novi pristup po tome što ugrađuje komad JavaScript datoteke koda nazvan config.js koji direktno izvršava JavaScript hostovan na udaljenom domenu (“ipcheck[.]cloud”) koristeći funkciju eval() .
“Naša istraga je otkrila da se ipcheck[.]cloud rješava na istu IP adresu (167[.]88[.]36[.]13) na koju je mirotalk[.]net riješio kada je bio na mreži”, rekao je Phylum, ističući potencijal veze između dva skupa napada.
Kompanija je rekla da je takođe primetila još jedan paket pod nazivom sass-notification koji je postavljen 27. avgusta 2024. godine, a koji deli sličnosti sa prethodno otkrivenim npm bibliotekama kao što je call-blockflow . Ovi paketi su pripisani drugoj sjevernokorejskoj prijetnji pod nazivom Moonstone Sleet .
„Ove napade karakteriše korišćenje zamagljenog JavaScript-a za pisanje i izvršavanje paketnih i PowerShell skripti“, navodi se. “Skripte preuzimaju i dešifruju udaljeni korisni teret, izvode ga kao DLL, a zatim pokušavaju da očiste sve tragove zlonamjerne aktivnosti, ostavljajući za sobom naizgled benigni paket na mašini žrtve.”
Poznata Chollima se predstavlja kao IT radnici u američkim firmama#
Razotkrivanje dolazi nakon što je CrowdStrike povezao Famous Chollima (ranije BadClone) sa operacijama insajderskih prijetnji koje podrazumijevaju infiltriranje u korporativno okruženje pod izgovorom legitimnog zapošljavanja.
“Poznati Chollima je izvršio ove operacije tako što je dobio ugovor ili zaposlenje u ekvivalentu punog radnog vremena, koristeći falsifikovane ili ukradene lične dokumente kako bi zaobišao provjere prošlosti”, saopštila je kompanija . “Kada su se prijavljivali za posao, ovi maliciozni insajderi su dostavili biografiju u kojoj se obično navode prethodni poslovi u istaknutoj kompaniji, kao i dodatne manje poznate kompanije i bez praznina u zapošljavanju.”
Iako su ovi napadi uglavnom finansijski motivisani, za podskup incidenata se kaže da je uključivao eksfiltraciju osjetljivih informacija. CrowdStrike je saopštio da je identifikovao hakere koji se primjenjuju na ili aktivno rade u više od 100 jedinstvenih kompanija u protekloj godini, od kojih se većina nalazi u SAD-u, Saudijskoj Arabiji, Francuskoj, Filipinima i Ukrajini, između ostalih.
Istaknuto ciljani sektori uključuju tehnologiju, fintech, finansijske usluge, profesionalne usluge, maloprodaju, transport, proizvodnju, osiguranje, farmaciju, društvene medije i medijske kompanije.
“Nakon što su dobili pristup mrežama žrtava na nivou zaposlenih, insajderi su obavljali minimalne zadatke vezane za njihovu radnu ulogu”, dalje su iz kompanije. U nekim slučajevima, insajderi su takođe pokušali da eksfiltriraju podatke koristeći Git, SharePoint i OneDrive.”
“Pored toga, insajderi su instalirali sljedeće RMM alate: RustDesk, AnyDesk, TinyPilot, VS Code Dev Tunnels i Google Chrome Remote Desktop. Insajderi su zatim iskoristili ove RMM alate u tandemu s mrežnim akreditivima kompanije, što je omogućilo brojnim IP adresama da se povežu na sistem žrtve.”
Izvor: TheHackerNews