Търсене
Close this search box.

Севернокорейските хакери атакуват разработчици със зловредни пакети npm

Нови данни на Phylum показват, че набор от фалшиви пакети npm, открити в хранилището на Node.js, е свързан със спонсорирани от държавата групи от Северна Корея.

Пакетите са наречени execution-time-async, data-time-utils, login-time-utils, mongodb-connection-utils и mongodb-execution-utils.

Един от въпросните пакети, execution-time-async, се маскира като легитимния си аналог execution-time – библиотека с повече от 27 000 изтегляния седмично. Execution-time е помощна програма на Node.js, която се използва за измерване на времето за изпълнение на кода.

Тя „всъщност инсталира няколко зловредни скрипта, включително крадец на криптовалута и удостоверения“, заяви Phylum, описвайки кампанията като атака по веригата за доставки на софтуер, насочена към разработчиците. Пакетът е бил изтеглен 302 пъти от 4 февруари 2024 г. насам, преди да бъде свален.

В интересен обрат, участниците в заплахата са положили усилия да скрият замаскирания зловреден код в тестови файл, който е предназначен да извлича следващ етап на полезен товар от отдалечен сървър, да краде идентификационни данни от уеб браузъри като Brave, Google Chrome и Opera и да извлича скрипт на Python, който на свой ред изтегля други скриптове –

  • ~/.n2/pay, който може да изпълнява произволни команди, да сваля и стартира ~/.n2/bow и ~/.n2/adc, да прекратява Brave и Google Chrome и дори да се изтрива.
  • ~/.n2/bow, който е базиран на Python крадец на пароли за браузъри
  • ~/.n2/adc, който инсталира AnyDesk в Windows

Phylum заяви, че е идентифицирала коментари в изходния код („/Users/ninoacuna/“), които са позволили да се проследи вече изтрит профил в GitHub със същото име („Nino Acuna“ или binaryExDev), съдържащ хранилище, наречено File-Uploader.

В хранилището присъстваха скриптове на Python, които препращаха към същите IP адреси (162.218.114[.]83 – впоследствие променен на 45.61.169[.]99), използвани за извличане на гореспоменатите скриптове на Python.

Malicious npm Packages

Подозира се, че атаката е в процес на разработка, тъй като поне още четири пакета с идентични функции са си проправили път към хранилището за пакети npm, привличайки общо 325 изтегляния –

  • data-time-utils – 52 изтегляния, считано от 15 февруари
  • login-time-utils – 171 изтегляния, считано от 15 февруари
  • mongodb-connection-utils – 51 изтегляния, считано от 19 февруари
  • mongodb-execution-utils – 51 изтегляния, считано от 19 февруари

Появяват се връзки със севернокорейскигрупи

Phylum, който също така анализира двата акаунта в GitHub, които binaryExDev следва, открива друго хранилище, известно като mave-finance-org/auth-playground, което е било разклонявано не по-малко от дузина пъти от други акаунти.

Malicious npm Packages

Макар че само по себе си разклоняването на хранилище не е нещо необичайно, необичаен аспект на някои от тези разклонени хранилища беше, че те бяха преименувани на „auth-demo“ или „auth-challenge“, което увеличава възможността оригиналното хранилище да е било споделено като част от тест за кодиране за интервю за работа.

По-късно хранилището беше преместено в banus-finance-org/auth-sandbox, Dexbanus-org/live-coding-sandbox и mave-finance/next-assessment, което показва опити за активно заобикаляне на опитите за изземване от страна на GitHub. Всички тези акаунти са премахнати.

Нещо повече, беше установено, че пакетът next-assessment съдържа зависимост „json-mock-config-server“, която не е включена в регистъра на npm, а се обслужва директно от домейна npm.mave[.]finance.

Струва си да се отбележи, че Banus твърди, че е децентрализирана борса за вечни спотове, базирана в Хонконг, като компанията дори е публикувала възможност за работа за старши frontend разработчик на 21 февруари 2024 г. Понастоящем не е ясно дали това е истинско откриване на работно място, или става въпрос за сложна схема за социално инженерство.

Връзките със севернокорейски банди идват от факта, че замаскираният JavaScript, вграден в пакета npm, се припокрива с друг зловреден софтуер, базиран на JavaScript, наречен BeaverTail, който се разпространява чрез подобен механизъм. Кампанията е с кодово име Contagious Interview (Заразно интервю) от Unit 42 на Palo Alto Networks през ноември 2023 г.

Contagious Interview е малко по-различна от Operation Dream Job – която е свързана с Lazarus Group – по това, че се фокусира главно върху насочването към разработчици чрез фалшиви самоличности в портали за работа на свободна практика, за да ги подмами да инсталират измамни пакети npm, каза тогава Майкъл Сикорски, вицепрезидент и главен технически директор на Palo Alto Networks Unit 42, пред The Hacker News.

Един от разработчиците, станали жертва на кампанията, впоследствие потвърди пред Phylum, че хранилището е споделено под прикритието на интервю за кодиране на живо, въпреки че заяви, че никога не го е инсталирал в системата си.

„Повече от всякога е важно както за отделните разработчици, така и за организациите, разработващи софтуер, да останат бдителни срещу тези атаки в кода с отворен код“, заявиха от компанията.

Източник: The Hacker News

Подобни публикации

25 юли 2024

Съвети как да поддържате киберсигурността на би...

Ръководството на цифровото поведение на служителите е от ключово зн...
24 юли 2024

ACLU се бори за конституционното ви право да пр...

Събуждате се в деня на изборите и отключвате телефона си, за да вид...
24 юли 2024

CrowdStrike обяснява защо лошата актуализация н...

Днес CrowdStrike сподели информация от предварителния си преглед сл...
24 юли 2024

57 000 пациенти, засегнати от нарушение на сигу...

Michigan Medicine (Мичиган Медисин) , академичният медицински центъ...
24 юли 2024

Китайските хакери разполагат с нова версия на M...

Китайската хакерска група, проследена като „Evasive PandaR...
24 юли 2024

Юлските актуализации за сигурност на Windows из...

Microsoft предупреди, че след инсталирането на актуализациите за си...

NIS 2: Въвеждане на по-строго управление на киб...

Новата директива на ЕС NIS 2 вдига летвата за киберсигурност, особе...
Бъдете социални
Още по темата
24/07/2024

Китайските хакери разполага...

Китайската хакерска група, проследена като „Evasive...
23/07/2024

САЩ налагат санкции на руск...

Правителството на САЩ наложи санкции на...
22/07/2024

CISA публикува наръчник за ...

Агенцията за киберсигурност и инфраструктурна сигурност...
Последно добавени
25/07/2024

Съвети как да поддържате ки...

Ръководството на цифровото поведение на служителите...
24/07/2024

ACLU се бори за конституцио...

Събуждате се в деня на изборите...
24/07/2024

CrowdStrike обяснява защо л...

Днес CrowdStrike сподели информация от предварителния...
Ключови думи

Абонамента е почти завършен.

На посоченият от Вас e-mail е изпратено съобщение за потвърждаване на абонамента.

Моля, проверете електронната си поща за да потвърдите.

Благодарим за доверието!