Se ha observado que actores de amenazas con v\u00ednculos con Corea del Norte publican un conjunto de paquetes maliciosos en el registro npm, lo que indica esfuerzos “coordinados e implacables” para atacar a los desarrolladores con malware y robar activos de criptomonedas.<\/p>\n
La \u00faltima ola, que se observ\u00f3 entre el 12 y el 27 de agosto de 2024, involucr\u00f3 paquetes llamados temp-etherscan-api, ethersscan-api, telegram-con, helmet-validate y qq-console.<\/p>\n
“Los comportamientos en esta campa\u00f1a nos llevan a creer que qq-console es atribuible a la campa\u00f1a norcoreana conocida como ‘Entrevista Contagiosa'”, dijo la firma de seguridad de la cadena de suministro de software Phylum dicho<\/a>.<\/p>\n Contagious Interview se refiere a una campa\u00f1a en curso que busca comprometer a los desarrolladores de software con malware que roba informaci\u00f3n como parte de un supuesto proceso de entrevista de trabajo que implica enga\u00f1arlos para que descarguen paquetes npm falsos o instaladores falsos para software de videoconferencia como MiroTalk alojado en sitios web se\u00f1uelo.<\/p>\n El objetivo final de los ataques es implementar una carga \u00fatil de Python llamada InvisibleFerret que puede extraer datos confidenciales de las extensiones del navegador de las billeteras de criptomonedas y configurar la persistencia en el host mediante un software de escritorio remoto leg\u00edtimo como AnyDesk. CrowdStrike est\u00e1 rastreando la actividad bajo el nombre de Famous Chollima.<\/p>\n El paquete Helmet-Validate recientemente observado adopta un nuevo enfoque ya que incorpora un fragmento de archivo de c\u00f3digo JavaScript llamado config.js que ejecuta directamente JavaScript alojado en un dominio remoto (“ipcheck[.]nube”) utilizando el Funci\u00f3n eval()<\/a>.<\/p>\n “Nuestra investigaci\u00f3n revel\u00f3 que ipcheck[.]La nube se resuelve en la misma direcci\u00f3n IP (167)[.]88[.]36[.]13) ese mirotalk[.]”La red se resolvi\u00f3 cuando estaba en l\u00ednea”, dijo Phylum, destacando los v\u00ednculos potenciales entre los dos conjuntos de ataques.<\/p>\n La empresa afirm\u00f3 que tambi\u00e9n observ\u00f3 otro paquete llamado sass-notification que se carg\u00f3 el 27 de agosto de 2024 y que compart\u00eda similitudes con bibliotecas npm descubiertas anteriormente, como call-blockflow. Estos paquetes se han atribuido a otro grupo de amenazas norcoreano llamado Moonstone Sleet.<\/p>\n “Estos ataques se caracterizan por el uso de JavaScript ofuscado para escribir y ejecutar scripts por lotes y de PowerShell”, afirm\u00f3. “Los scripts descargan y descifran una carga \u00fatil remota, la ejecutan como una DLL y luego intentan limpiar todos los rastros de actividad maliciosa, dejando atr\u00e1s un paquete aparentemente benigno en la m\u00e1quina de la v\u00edctima”.<\/p>\n La revelaci\u00f3n se produce cuando CrowdStrike se vincul\u00f3 Famosa Chollima<\/a> (anteriormente BadClone) a operaciones de amenazas internas que implican infiltrarse en entornos corporativos bajo el pretexto de un empleo leg\u00edtimo.<\/p>\n “El famoso Chollima llev\u00f3 a cabo estas operaciones obteniendo un contrato o un empleo equivalente a tiempo completo, utilizando documentos de identidad falsificados o robados para eludir las verificaciones de antecedentes”, dijo la empresa. dicho<\/a>“Al solicitar un trabajo, estos malintencionados presentaban un curr\u00edculum que generalmente inclu\u00eda empleos anteriores en una empresa importante, as\u00ed como en otras empresas menos conocidas y sin interrupciones laborales”.<\/p>\n Si bien estos ataques tienen motivaciones principalmente financieras, se dice que un subconjunto de los incidentes involucraron la exfiltraci\u00f3n de informaci\u00f3n confidencial. CrowdStrike dijo que identific\u00f3 a los actores de amenazas que solicitaron o trabajaron activamente en m\u00e1s de 100 empresas diferentes durante el a\u00f1o pasado, la mayor\u00eda de las cuales se encuentran en los EE. UU., Arabia Saudita, Francia, Filipinas y Ucrania, entre otros.<\/p>\n Los sectores principalmente objetivo incluyen tecnolog\u00eda, tecnolog\u00eda financiera, servicios financieros, servicios profesionales, comercio minorista, transporte, manufactura, seguros, productos farmac\u00e9uticos, redes sociales y empresas de medios de comunicaci\u00f3n.<\/p>\n “Despu\u00e9s de obtener acceso a las redes de las v\u00edctimas a nivel de empleado, los infiltrados realizaron tareas m\u00ednimas relacionadas con su funci\u00f3n laboral”, a\u00f1adi\u00f3 la empresa. En algunos casos, los infiltrados tambi\u00e9n intentaron exfiltrar datos mediante Git, SharePoint y OneDrive”.<\/p>\n “Adem\u00e1s, los atacantes internos instalaron las siguientes herramientas RMM: RustDesk, AnyDesk, TinyPilot, VS Code Dev Tunnels y Google Chrome Remote Desktop. Luego, los atacantes internos aprovecharon estas herramientas RMM junto con las credenciales de red de la empresa, lo que permiti\u00f3 que numerosas direcciones IP se conectaran al sistema de la v\u00edctima”.<\/p>\n <\/p>\n![\"Ciberseguridad\"](\"https:\/\/teknomers.com\/es\/wp-content\/uploads\/2024\/08\/Los-piratas-informaticos-norcoreanos-atacan-a-los-desarrolladores-con-paquetes.png\")
<\/a><\/center><\/div>\nFamosos Chollima se hacen pasar por trabajadores de IT en empresas de EE.UU.<\/h3>\n
<\/a><\/center><\/section>\n