Des acteurs malveillants ayant des liens avec la Corée du Nord ont été observés en train de publier un ensemble de packages malveillants dans le registre npm, indiquant des efforts « coordonnés et incessants » pour cibler les développeurs avec des logiciels malveillants et voler des actifs de crypto-monnaie.
La dernière vague, observée entre le 12 et le 27 août 2024, impliquait des packages nommés temp-etherscan-api, ethersscan-api, telegram-con, helmet-validate et qq-console.
« Les comportements dans cette campagne nous amènent à penser que qq-console est attribuable à la campagne nord-coréenne connue sous le nom de « Contagious Interview » », a déclaré Phylum, une société de sécurité de la chaîne d’approvisionnement de logiciels. dit.
Contagious Interview fait référence à une campagne en cours qui cherche à compromettre les développeurs de logiciels avec des logiciels malveillants volant des informations dans le cadre d’un prétendu processus d’entretien d’embauche qui consiste à les inciter à télécharger de faux packages npm ou de faux installateurs pour des logiciels de visioconférence tels que MiroTalk hébergés sur des sites Web leurres.
L’objectif final des attaques est de déployer une charge utile Python nommée InvisibleFerret qui peut exfiltrer des données sensibles des extensions de navigateur de portefeuille de crypto-monnaie et configurer la persistance sur l’hôte à l’aide d’un logiciel de bureau à distance légitime tel qu’AnyDesk. CrowdStrike suit l’activité sous le nom de Famous Chollima.
Le package helmet-validate nouvellement observé adopte une nouvelle approche dans la mesure où il intègre un morceau de fichier de code JavaScript appelé config.js qui exécute directement JavaScript hébergé sur un domaine distant (« ipcheck[.]nuage ») en utilisant le fonction eval().
« Notre enquête a révélé qu’ipcheck[.]le cloud se résout à la même adresse IP (167[.]88[.]36[.]13) que mirotalk[.] »Le réseau a été résolu au moment où il était en ligne », a déclaré Phylum, soulignant les liens potentiels entre les deux séries d’attaques.
La société a déclaré avoir également observé un autre package appelé sass-notification qui a été téléchargé le 27 août 2024, qui partageait des similitudes avec des bibliothèques npm précédemment découvertes comme call-blockflow. Ces packages ont été attribués à un autre groupe de menaces nord-coréen appelé Moonstone Sleet.
« Ces attaques se caractérisent par l’utilisation de JavaScript obscurci pour écrire et exécuter des scripts batch et PowerShell », a-t-il déclaré. « Les scripts téléchargent et décryptent une charge utile distante, l’exécutent en tant que DLL, puis tentent de nettoyer toute trace d’activité malveillante, laissant derrière eux un package apparemment inoffensif sur la machine de la victime. »
Des Chollima célèbres se font passer pour des informaticiens dans des entreprises américaines
Cette révélation intervient alors que CrowdStrike est lié Chollima célèbre (anciennement BadClone) aux opérations de menaces internes qui impliquent l’infiltration d’environnements d’entreprise sous le prétexte d’un emploi légitime.
« Le célèbre Chollima a mené ces opérations en obtenant un contrat ou un emploi équivalent à temps plein, en utilisant des documents d’identité falsifiés ou volés pour contourner les vérifications d’antécédents », a déclaré la société. dit« Lorsqu’ils postulaient pour un emploi, ces initiés malveillants soumettaient un CV répertoriant généralement leurs précédents emplois dans une entreprise de premier plan ainsi que dans d’autres entreprises moins connues, sans aucune interruption d’emploi. »
Bien que ces attaques soient principalement motivées par des raisons financières, un sous-ensemble d’incidents aurait impliqué l’exfiltration d’informations sensibles. CrowdStrike a déclaré avoir identifié les acteurs de la menace postulant ou travaillant activement dans plus de 100 entreprises différentes au cours de l’année écoulée, dont la plupart sont situées aux États-Unis, en Arabie saoudite, en France, aux Philippines et en Ukraine, entre autres.
Les secteurs les plus ciblés sont la technologie, la fintech, les services financiers, les services professionnels, la vente au détail, les transports, la fabrication, les assurances, les produits pharmaceutiques, les médias sociaux et les sociétés de médias.
« Après avoir obtenu un accès au niveau des employés aux réseaux des victimes, les initiés ont effectué des tâches minimales liées à leur poste », a ajouté l’entreprise. Dans certains cas, les initiés ont également tenté d’exfiltrer des données à l’aide de Git, SharePoint et OneDrive. »
« De plus, les initiés ont installé les outils RMM suivants : RustDesk, AnyDesk, TinyPilot, VS Code Dev Tunnels et Google Chrome Remote Desktop. Les initiés ont ensuite exploité ces outils RMM en tandem avec les informations d’identification du réseau de l’entreprise, ce qui a permis à de nombreuses adresses IP de se connecter au système de la victime. »