Изследователи от платформата за сигурност Socket разкриха нова кампания на севернокорейски заплахи, при която в популярното хранилище Node Package Manager (npm) са били публикувани 67 зловредни пакета. Те разпространяват нов зловреден компонент, наречен XORIndex Loader, като част от продължаващата операция Contagious Interview.

Какво представлява операцията Contagious Interview?

Contagious Interview е държавно спонсорирана кампания на КНДР, чиято основна цел е насочване към разработчици чрез фалшиви предложения за работа, съдържащи зловреден код. Кампанията е активна от месеци и служи за:

• Кражба на чувствителна информация

• Достъп до корпоративни мрежи

• Източване на криптовалута

 Детайли за атаката в npm

• Публикувани са 67 npm пакета с имена, наподобяващи реални библиотеки:

  • vite-meta-plugin

  • vite-logging-tool

  • postcss-preloader

  • js-prettier

  • midd-js / middy-js

  • и други

• Пакетите са били изтеглени над 17 000 пъти

• При инсталация се изпълнява postinstall скрипт, който зарежда XORIndex Loader

 Какво прави XORIndex Loader?

1. Събира данни за хоста (профилиране на жертвата)

2. Изпраща информация към контролен сървър (C2), хостван в облака на Vercel

3. Получава допълнителни зловредни JavaScript компоненти, изпълнявани чрез eval()

Основни зловредни компоненти:

• BeaverTail – осигурява постоянен отдалечен достъп

• InvisibleFerret – кражба на данни и изтегляне на допълнителен зловреден код

Механизъм за постоянство и еволюция

Socket предупреждават, че атакуващите:

• Използват нови псевдоними и профили в npm

• Редуват нови и стари инструменти, за да избегнат откриване

• Постоянно модифицират код, за да заобикалят системите за откриване на заплахи

Как да се предпазим?

• Проверявайте източника на npm пакетите – доверявайте се само на известни и утвърдени проекти

•  Избягвайте пакети с имена, близки до популярни библиотеки – възможно е да са typosquatting атаки

• Преглеждайте историята на активност в репозитория – неочаквани качвания или автоматизирани действия са тревожни

•  Тествайте нови библиотеки в изолирана среда (sandbox) преди внедряване

•  Винаги разглеждайте сорс кода за:

  • Скрит postinstall скрипт

  • Обфускирани команди

  • Използване на eval() или мрежова активност

Кампанията на КНДР през npm е поредно доказателство, че разработчиците са все по-атрактивна цел за национални кибероперации. С увеличаващата се употреба на отворен код, проверката и хигиената при използване на външни библиотеки са критични за сигурността на всеки проект.