El actor de amenazas vinculado a Corea del Norte conocido como Aguanieve de piedra lunar ha seguido enviando paquetes npm maliciosos al registro de paquetes de JavaScript con el objetivo de infectar sistemas Windows, lo que subraya la naturaleza persistente de sus campañas.
Los paquetes en cuestión, API de Harthat y harthat-hashse publicaron el 7 de julio de 2024, según Datadog Security Labs. Ambas bibliotecas no atrajeron ninguna descarga y fueron retiradas poco después.
La rama de seguridad de la empresa de monitoreo en la nube está rastreando al actor de amenazas bajo el nombre de Stressed Pungsan, que exhibe superposiciones con un grupo de actividad maliciosa norcoreana recientemente descubierto denominado Moonstone Sleet.
«Si bien el nombre se asemeja al Casco de seguridad «El contenido del paquete npm (una utilidad de desarrollo de Ethereum) no indica ninguna intención de typosquat», dijeron los investigadores de Datadog Sebastian Obregoso y Zack Allen. dicho«El paquete malicioso reutiliza el código de un repositorio de GitHub conocido llamado configuración de nodo con más de 6000 estrellas y 500 bifurcaciones, conocido en npm como config.»
Se sabe que las cadenas de ataque orquestadas por el colectivo adversario difunden archivos ZIP falsos a través de LinkedIn bajo un nombre de empresa falso o sitios web de trabajo independiente, incitando a los posibles objetivos a ejecutar cargas útiles que invocan un paquete npm como parte de una supuesta evaluación de habilidades técnicas.
«Cuando se cargó, el paquete malicioso usó curl para conectarse a una IP controlada por el actor y soltar cargas útiles maliciosas adicionales como SplitLoader», señaló Microsoft en mayo de 2024. «En otro incidente, Moonstone Sleet entregó un cargador npm malicioso que provocó el robo de credenciales de LSASS».
Hallazgos posteriores de Checkmarx revelaron que Moonstone Sleet también había estado intentando distribuir sus paquetes a través del registro npm.
Los paquetes recién descubiertos están diseñados para ejecutar un script de preinstalación especificado en el archivo package.json, que, a su vez, verifica si se está ejecutando en un sistema Windows («Windows_NT»), después de lo cual se comunica con un servidor externo («142.111.77[.]196») para descargar un archivo DLL que se carga lateralmente usando el binario rundll32.exe.
La DLL maliciosa, por su parte, no realiza ninguna acción maliciosa, lo que sugiere que se trató de una prueba de su infraestructura de entrega de carga útil o que fue enviada inadvertidamente al registro antes de incrustar en ella código malicioso.
El desarrollo se produce cuando el Centro Nacional de Seguridad Cibernética (NCSC) de Corea del Sur prevenido de ataques cibernéticos montados por grupos de amenazas norcoreanos identificados como Andariel y Kimsuky para distribuir familias de malware como Dora RAT y TrollAgent (también conocido como Troll Stealer) como parte de campañas de intrusión dirigidas a los sectores de construcción y maquinaria en el país.
La secuencia del ataque Dora RAT es notable por el hecho de que los hackers de Andariel explotaron vulnerabilidades en el mecanismo de actualización de software de un software VPN doméstico para propagar el malware.