Les chercheurs en cybersécurité ont découvert une variante mise à jour d’un logiciel malveillant voleur connu que des attaquants affiliés à la République populaire démocratique de Corée (RPDC) ont diffusé dans le cadre de précédentes campagnes de cyberespionnage ciblant les demandeurs d’emploi.
L’artefact en question est un fichier d’image disque Apple macOS (DMG) nommé « MiroTalk.dmg » qui imite le service d’appel vidéo légitime du même nom, mais, en réalité, sert de canal pour fournir une version native de BeaverTail, selon le chercheur en sécurité Patrick Wardle dit.
BeaverTail fait référence à un malware de vol de code JavaScript qui a été documenté pour la première fois par l’unité 42 de Palo Alto Networks en novembre 2023 dans le cadre d’une campagne baptisée Contagious Interview qui vise à infecter les développeurs de logiciels avec des logiciels malveillants via un prétendu processus d’entretien d’embauche. Securonix suit la même activité sous le nom de DEV#POPPER.
En plus de siphonner des informations sensibles à partir des navigateurs Web et des portefeuilles cryptographiques, le malware est capable de fournir des charges utiles supplémentaires comme InvisibleFerret, une porte dérobée Python responsable du téléchargement d’AnyDesk pour un accès à distance persistant.
Bien que BeaverTail ait été distribué via de faux packages npm hébergés sur GitHub et le registre de packages npm, les dernières découvertes marquent un changement dans le vecteur de distribution.
« Si je devais deviner, les pirates informatiques de la RPDC ont probablement approché leurs victimes potentielles, leur demandant de participer à une réunion d’embauche, en téléchargeant et en exécutant la version infectée de MiroTalk hébergée sur mirotalk.[.] »net », a déclaré Wardle.
Une analyse du fichier DMG non signé révèle qu’il facilite le vol de données à partir de navigateurs Web tels que Google Chrome, Brave et Opera, de portefeuilles de cryptomonnaie et du trousseau iCloud. De plus, il est conçu pour télécharger et exécuter des scripts Python supplémentaires à partir d’un serveur distant (c’est-à-dire InvisibleFerret).
« Les pirates informatiques nord-coréens sont une bande rusée et très habile à pirater des cibles macOS, même si leur technique repose souvent sur l’ingénierie sociale (et donc, d’un point de vue technique, elle est plutôt peu impressionnante) », a déclaré Wardle.
La divulgation intervient alors que Phylum découvert un nouveau package npm malveillant nommé call-blockflow qui est pratiquement identique au package légitime call-bind mais qui intègre des fonctionnalités complexes pour télécharger un fichier binaire distant tout en déployant des efforts minutieux pour passer sous le radar.
« Dans cette attaque, bien que le package call-bind n’ait pas été compromis, le package call-blockflow militarisé copie toute la confiance et la légitimité de l’original pour renforcer le succès de l’attaque », a-t-il déclaré dans un communiqué partagé avec The Hacker News.
Le paquet, soupçonné d’être l’œuvre du groupe Lazarus lié à la Corée du Nord et rendu inédit environ une heure et demie plus tard après avoir été téléchargé sur npm, a attiré un total de 18 téléchargementsLes preuves suggèrent que l’activité, comprenant plus de trois douzaines de packages malveillants, se déroule par vagues depuis septembre 2023.
« Ces packages, une fois installés, téléchargeraient un fichier distant, le décrypteraient, exécuteraient une fonction exportée à partir de celui-ci, puis couvriraient méticuleusement leurs traces en supprimant et en renommant les fichiers », a déclaré la société de sécurité de la chaîne d’approvisionnement en logiciels. dit. « Cela a laissé le répertoire du package dans un état apparemment bénin après l’installation. »
Cette alerte fait également suite à un avis du JPCERT/CC, mettant en garde contre des cyberattaques orchestrées par l’acteur nord-coréen Kimsuky visant des organisations japonaises.
Le processus d’infection commence par des messages de phishing se faisant passer pour des organisations de sécurité et diplomatiques, et contient un exécutable malveillant qui, une fois ouvert, conduit au téléchargement d’un script Visual Basic (VBS), qui, à son tour, récupère un script PowerShell pour récolter les informations sur les comptes d’utilisateurs, le système et le réseau, ainsi que pour énumérer les fichiers et les processus.
Les informations collectées sont ensuite exfiltrées vers un serveur de commande et de contrôle (C2), qui répond avec un deuxième fichier VBS qui est ensuite exécuté pour récupérer et exécuter un enregistreur de frappe basé sur PowerShell nommé InfoKey.
« Bien qu’il y ait eu peu de rapports d’activités d’attaques de Kimsuky ciblant des organisations au Japon, il est possible que le Japon soit également activement ciblé », a déclaré JPCERT/CC. dit.