Les acteurs de la menace nord-coréenne derrière la campagne d’interview contagieuse en cours diffusent leurs tentacules sur l’écosystème du NPM en publiant plus de forfaits malveillants qui livrent le malware de Beavertail, ainsi qu’un nouveau chargeur de trojan (rat) à accès à distance.
“Ces derniers échantillons utilisent le codage des chaînes hexadécimales pour échapper aux systèmes de détection automatisés et aux audits de code manuel, signalant une variation des techniques d’obscurcissement des acteurs de la menace”, chercheur à la sécurité de Socket Kirill Boychenko dit dans un rapport.
Les forfaits en question, qui ont été collectivement téléchargés plus de 5 600 fois avant leur retrait, sont répertoriés ci-dessous –
- validateur à arrayage vide
- twitterapis
- dev-debugger-vite
- snore-log
- noyau
- événements-utiles
- iCloud-Cod
- bogueur CLN
- nœud
- se consolider
- se consolider
La divulgation survient près d’un mois après qu’un ensemble de six packages NPM a été découvert en distribuant Queue à queueun Voleur javascript C’est également capable de livrer une porte dérobée basée sur Python surnommée InvisibleFerret.
L’objectif final de la campagne est d’infiltrer les systèmes de développeurs sous le couvert d’un processus d’entrevue d’emploi, de voler des données sensibles, de siphon des actifs financiers et de maintenir un accès à long terme à des systèmes compromis.
Les bibliothèques NPM nouvellement identifiées se masquent comme des utilitaires et des débuggeurs, avec l’une d’entre elles – Dev-Debugger-vite – en utilisant une adresse de commandement et de contrôle (C2) précédemment signalée par SecurityScoreCard, utilisé par le groupe Lazarus dans un circuit de Campe-nommé de la campagne en décembre 2024.
Ce qui fait que ces packages se démarquent, c’est que certains d’entre eux, tels que les événements-Utils et Icloud-Cod, sont liés aux référentiels Bitbucket, par opposition à GitHub. De plus, le package iCloud-Cod s’est avéré être hébergé dans un répertoire nommé “eiwork_hire“Réitérant l’utilisation par l’acteur de menace de thèmes liés aux entretiens pour activer l’infection.
Une analyse des packages, CLN-Logger, Node-Clog, Consolidated-Log et Consolidate-Logger, a également découvert des variations mineures au niveau du code, indiquant que les attaquants publient plusieurs variantes de logiciels malveillants dans le but d’augmenter le taux de réussite de la campagne.
Quelles que soient les modifications, le code malveillant intégré dans les quatre packages fonctionne comme un chargeur de Troie (rat) d’accès à distance capable de propager une charge utile à la prochaine étape d’un serveur distant.
“Les acteurs contagieux de la menace d’entrevue continuent de créer de nouveaux comptes NPM et de déployer du code malveillant sur des plateformes comme le registre du NPM, Github et Bitbucket, démontrant leur persistance et ne montrant aucun signe de ralentissement”, a déclaré Boychenko.
“Le groupe avancé de menace persistante (APT) diversifie ses tactiques – publier de nouveaux logiciels malveillants sous de nouveaux alias, hébergeant des charges utiles dans les référentiels GitHub et Bitbucket, et réutiliser des composants centraux comme Beavertail et InvisibleFerret aux côtés de variantes de rat / chargement nouvellement observées.”
Beavertail Drops Tropidoor
La découverte des nouveaux forfaits NPM intervient alors que la société sud-coréenne de cybersécurité Ahnlab a détaillé une campagne de phishing sur le thème du recrutement qui fournit Beavertail, qui est ensuite utilisée pour déployer une codé Backdoor Windows auparavant sans papiers. Les artefacts analysés par le cabinet montrent que Beavertail est utilisé pour cibler activement les développeurs en Corée du Sud.
Le e-mailqui prétendait provenir d’une entreprise appelée Autosquare, contenait un lien vers un projet hébergé sur Bitbucket, exhortant le destinataire à cloner localement le projet sur sa machine pour examiner sa compréhension du programme.
L’application n’est rien d’autre qu’une bibliothèque NPM qui contient Beauvertail (“tailwind.config.js”) et un logiciel malveillant DLL (“car.dll”), ce dernier est lancé par le voleur et le chargeur JavaScript.
Tropidoor est une porte dérobée “opérant en mémoire via le téléchargeur” qui est capable de contacter un serveur C2 pour recevoir des instructions qui permettent d’exfiltrer des fichiers, de collecter des informations sur le lecteur et de fichier, d’exécuter et de terminer les processus, de capturer des captures d’écran et de supprimer ou d’effacer les fichiers en les écrasant avec des données nuls ou nulles.
Un aspect important de l’implant est qu’il implémente directement les commandes Windows telles que les schtasks, le ping et le reg, une fonctionnalité précédemment également observée dans un autre logiciel malveillant de groupe Lazare appelé Lightlesscan, lui-même un successeur de Blindingcan (aka airdry aka zetanile).
“Les utilisateurs doivent être prudents non seulement avec les pièces jointes des e-mails mais également avec les fichiers exécutables à partir de sources inconnues”, ahnlab dit.





