Devam eden bulaşıcı röportaj kampanyasının arkasındaki Kuzey Kore tehdit aktörleri, Beaverail kötü amaçlı yazılımları ve yeni bir uzaktan erişim Truva (sıçan) yükleyici sunan daha kötü amaçlı paketler yayınlayarak NPM ekosistemine dokunaçlarını yayıyor.
“Bu en son örnekler, otomatik algılama sistemlerinden ve manuel kod denetimlerinden kaçınmak için onaltılık dize kodlayan, tehdit aktörlerinin şaşkınlık tekniklerinde bir varyasyona işaret eder.” söz konusu bir raporda.
Söz konusu paketler, kaldırılmasından 5.600’den fazla toplu olarak indirilen paketler aşağıda listelenmiştir –
- Boş-Lay-Validator
- Twitterapis
- Dev-Debugger-Vite
- horlama
- çekirdek
- Etkinlikler-Utils
- icloud kodlu
- CLN-Logger
- Düğüm tıkanıklığı
- konsolide-log
- Konsolidate-Logger
Açıklama, altı NPM paketinin dağıtımının keşfedilmesinden yaklaşık bir ay sonra geliyor BeavertailA JavaScript Stealer Bu aynı zamanda InvisibleFerret olarak adlandırılan python tabanlı bir arka kapı teslim edebilir.
Kampanyanın nihai amacı, geliştirici sistemlerine bir iş görüşmesi süreci kisvesi altında sızmak, hassas verileri çalmak, finansal varlıkları sifonlamak ve tehlikeye atılan sistemlere uzun vadeli erişimi sürdürmektir.
Yeni tanımlanan NPM kütüphaneleri, Lazarus Grubu tarafından daha önce Aralık 2024’te bir kampanya kodlu Phantom Pisti tarafından kullanıldığı gibi, daha önce bir komut ve kontrol (C2) adresi kullanarak, bunlardan biri-Dev-Debugger-Vite-ile kamu hizmetleri ve hata ayıklayıcılar olarak maskelendi.
Bu paketleri öne çıkaran şey, etkinlikler-utils ve iCloud-kod gibi bazıları, GitHub’ın aksine Bitbucket depolarıyla bağlantılıdır. Ayrıca, iCloud-Pod paketinin bir dizinde barındırıldığı bulunmuştur “.eiwork_hire“tehdit oyuncunun enfeksiyonu aktive etmek için görüşme ile ilgili temaları tekrarlamak.
Paketlerin bir analizi olan CLN-Logger, düğüm tıkacı, konsolidate-log ve konsolidate-logger, ayrıca küçük kod seviyesi varyasyonlarını ortaya çıkardı, bu da saldırganların kampanyanın başarı oranını artırmak amacıyla birden fazla kötü amaçlı yazılım varyantları yayınladığını gösteriyor.
Değişikliklerden bağımsız olarak, dört paketin içine yerleştirilmiş kötü amaçlı kod, uzak bir sunucudan bir sonraki aşamalı yükü yayma yeteneğine sahip bir uzaktan erişim Truva (sıçan) yükleyici olarak işlev görür.
Boychenko, “Bulaşıcı röportaj tehdidi aktörleri yeni NPM hesapları oluşturmaya ve NPM kayıt defteri, GitHub ve Bitbucket gibi platformlara kötü amaçlı kod dağıtmaya devam ediyor, kalıcılıklarını gösteriyor ve yavaşlama belirtisi göstermiyor.” Dedi.
“Gelişmiş Kalıcı Tehdit (APT) Grubu taktiklerini çeşitlendiriyor – yeni kötü amaçlı yazılımlar taze takma adlar altında yayınlamak, hem GitHub hem de Bitbucket depolarında yükler barındırma ve yeni gözlemlenen sıçan/yükleyici varyantının yanında Beaverail ve InvisibleFerret gibi çekirdek bileşenleri yeniden kullanma.”
Beavertail Drops Tropidoor
Yeni NPM paketlerinin keşfi, Güney Koreli siber güvenlik şirketi Ahnlab’ın Beaverail’i sağlayan işe alım temalı bir kimlik avı kampanyasını detaylandırdığı ve daha sonra daha önce belgelenmemiş bir Windows Backdoor kodlu Tropidoor’u dağıtmak için kullanıldığı için geliyor. Firma tarafından analiz edilen eserler, Beaverail’in Güney Kore’deki geliştiricileri aktif olarak hedeflemek için kullanıldığını gösteriyor.
. e -posta mesajıAutosquare adlı bir şirketten olduğu iddia edilen, Bitbucket’te barındırılan bir projeye bir bağlantı içeriyordu ve alıcıyı programı anlamalarını gözden geçirmek için makinelerinde yerel olarak klonlamaya çağırdı.
Uygulama, Beaverail (“Tailwind.config.js”) ve bir DLL Downloader kötü amaçlı yazılım (“Car.dll”) içeren bir NPM kütüphanesinden başka bir şey değildir.
Tropidoor, dosyaları dışarı atmayı, sürücüyü ve dosya bilgilerini toplamayı ve dosyalamayı, ekran görüntülerini çalıştırmayı ve sonlandırmayı, ekran görüntülerini yakalamayı ve silin veya silinme talimatlarını almak için bir C2 sunucusuyla iletişim kurabilen “indirici aracılığıyla bellekte çalışan” bir arka kapıdır.
İmplantın önemli bir yönü, daha önce BlindingCan’ın (AKA Airdry aka zetanile) halefi olan Lightlesscan adlı başka bir Lazarus grubu kötü amaçlı yazılımında da gözlemlenen bir özellik olan Schtasks, Ping ve Reg gibi Windows komutlarını doğrudan uyguladığıdır.
“Kullanıcılar sadece e -posta ekleri ile değil, aynı zamanda bilinmeyen kaynaklardan yürütülebilir dosyalarla da dikkatli olmalıdır.” Ahnlab söz konusu.
