Se ha observado que actores de amenazas con vínculos con Corea del Norte publican un conjunto de paquetes maliciosos en el registro npm, lo que indica esfuerzos “coordinados e implacables” para atacar a los desarrolladores con malware y robar activos de criptomonedas.
La última ola, que se observó entre el 12 y el 27 de agosto de 2024, involucró paquetes llamados temp-etherscan-api, ethersscan-api, telegram-con, helmet-validate y qq-console.
“Los comportamientos en esta campaña nos llevan a creer que qq-console es atribuible a la campaña norcoreana conocida como ‘Entrevista Contagiosa'”, dijo la firma de seguridad de la cadena de suministro de software Phylum dicho.
Contagious Interview se refiere a una campaña en curso que busca comprometer a los desarrolladores de software con malware que roba información como parte de un supuesto proceso de entrevista de trabajo que implica engañarlos para que descarguen paquetes npm falsos o instaladores falsos para software de videoconferencia como MiroTalk alojado en sitios web señuelo.
El objetivo final de los ataques es implementar una carga útil de Python llamada InvisibleFerret que puede extraer datos confidenciales de las extensiones del navegador de las billeteras de criptomonedas y configurar la persistencia en el host mediante un software de escritorio remoto legítimo como AnyDesk. CrowdStrike está rastreando la actividad bajo el nombre de Famous Chollima.
El paquete Helmet-Validate recientemente observado adopta un nuevo enfoque ya que incorpora un fragmento de archivo de código JavaScript llamado config.js que ejecuta directamente JavaScript alojado en un dominio remoto (“ipcheck[.]nube”) utilizando el Función eval().
“Nuestra investigación reveló que ipcheck[.]La nube se resuelve en la misma dirección IP (167)[.]88[.]36[.]13) ese mirotalk[.]”La red se resolvió cuando estaba en línea”, dijo Phylum, destacando los vínculos potenciales entre los dos conjuntos de ataques.
La empresa afirmó que también observó otro paquete llamado sass-notification que se cargó el 27 de agosto de 2024 y que compartía similitudes con bibliotecas npm descubiertas anteriormente, como call-blockflow. Estos paquetes se han atribuido a otro grupo de amenazas norcoreano llamado Moonstone Sleet.
“Estos ataques se caracterizan por el uso de JavaScript ofuscado para escribir y ejecutar scripts por lotes y de PowerShell”, afirmó. “Los scripts descargan y descifran una carga útil remota, la ejecutan como una DLL y luego intentan limpiar todos los rastros de actividad maliciosa, dejando atrás un paquete aparentemente benigno en la máquina de la víctima”.
Famosos Chollima se hacen pasar por trabajadores de IT en empresas de EE.UU.
La revelación se produce cuando CrowdStrike se vinculó Famosa Chollima (anteriormente BadClone) a operaciones de amenazas internas que implican infiltrarse en entornos corporativos bajo el pretexto de un empleo legítimo.
“El famoso Chollima llevó a cabo estas operaciones obteniendo un contrato o un empleo equivalente a tiempo completo, utilizando documentos de identidad falsificados o robados para eludir las verificaciones de antecedentes”, dijo la empresa. dicho“Al solicitar un trabajo, estos malintencionados presentaban un currículum que generalmente incluía empleos anteriores en una empresa importante, así como en otras empresas menos conocidas y sin interrupciones laborales”.
Si bien estos ataques tienen motivaciones principalmente financieras, se dice que un subconjunto de los incidentes involucraron la exfiltración de información confidencial. CrowdStrike dijo que identificó a los actores de amenazas que solicitaron o trabajaron activamente en más de 100 empresas diferentes durante el año pasado, la mayoría de las cuales se encuentran en los EE. UU., Arabia Saudita, Francia, Filipinas y Ucrania, entre otros.
Los sectores principalmente objetivo incluyen tecnología, tecnología financiera, servicios financieros, servicios profesionales, comercio minorista, transporte, manufactura, seguros, productos farmacéuticos, redes sociales y empresas de medios de comunicación.
“Después de obtener acceso a las redes de las víctimas a nivel de empleado, los infiltrados realizaron tareas mínimas relacionadas con su función laboral”, añadió la empresa. En algunos casos, los infiltrados también intentaron exfiltrar datos mediante Git, SharePoint y OneDrive”.
“Además, los atacantes internos instalaron las siguientes herramientas RMM: RustDesk, AnyDesk, TinyPilot, VS Code Dev Tunnels y Google Chrome Remote Desktop. Luego, los atacantes internos aprovecharon estas herramientas RMM junto con las credenciales de red de la empresa, lo que permitió que numerosas direcciones IP se conectaran al sistema de la víctima”.