Atores de ameaças norte-coreanos inseriram 67 pacotes maliciosos no repositório online Node Package Manager (npm) para entregar um novo loader de malware chamado XORIndex aos sistemas de desenvolvedores.
Coletivamente, os pacotes contabilizam mais de 17.000 downloads e foram descobertos por pesquisadores na plataforma de segurança de pacotes Socket, que os avaliam como parte da contínua operação Contagious Interview.
Os pesquisadores da Socket dizem que a campanha segue a atividade de ameaça detectada desde abril.
No mês passado, o mesmo ator infiltrou no npm com 35 pacotes que instalaram stealer de informações e backdoors nos dispositivos dos desenvolvedores.
Contagious Interview é uma campanha apoiada pelo estado norte-coreano que visa principalmente desenvolvedores com ofertas de emprego falsas para enganá-los a executar código malicioso em seus sistemas.
O propósito varia desde coletar informações sensíveis que permitem o acesso indevido a empresas até o roubo de ativos de criptomoedas.
O Node Package Manager (npm) é o gerenciador de pacotes padrão para Node.js, uma plataforma onde desenvolvedores publicam e instalam bibliotecas e ferramentas JavaScript.
É amplamente usado no desenvolvimento web, mas também frequentemente explorado por atores de ameaças para distribuição de malware.
Dos 67 pacotes que os atores de ameaças carregaram no npm desta vez, há vários que parecem imitar ou mesclar os nomes de projetos de software legítimos e bibliotecas, como:
- vite-meta-plugin
- vite-postcss-tools
- vite-logging-tool
- vite-proc-log
- pretty-chalk
- postcss-preloader
- js-prettier
- flowframe
- figwrap
- midd-js, middy-js
Quando as vítimas instalam qualquer um desses pacotes, um script 'postinstall' é executado para lançar o XORIndex Loader, uma ferramenta nova que parece ser usada em paralelo com o HexEval Loader, um dropper de malware observado em ataques passados.
O XORIndex Loader coleta dados do host para perfilar cada vítima e os envia para um endereço de comando e controle (C2) codificado, hospedado na infraestrutura da empresa de aplicações em nuvem Vercel.
O servidor C2 responde com um ou mais payloads JavaScript, que são executados no sistema da vítima usando eval().
Esses payloads são tipicamente o BeaverTail e o backdoor InvisibleFerret, ambos atribuídos às operações Contagious Interview norte-coreanas.
Os dois malwares proporcionam acesso às máquinas comprometidas, permitem a exfiltração de dados e podem baixar mais payloads.
De acordo com os pesquisadores, os hackers norte-coreanos mesclam ferramentas antigas e novas com modificações sutis para evadir a detecção, e toda vez que o npm limpa uma infecção, eles retornam por meio de diferentes contas npm e nomes de pacotes.
“Os defensores devem esperar iterações contínuas desses loaders em pacotes recém-publicados, muitas vezes com leves variações para evadir a detecção”, alertam os pesquisadores.
Os pesquisadores da Socket dizem que reportaram ao npm todos os pacotes maliciosos da campanha mais recente, mas alguns deles ainda podem estar disponíveis no repositório.
É importante verificar duas vezes os pacotes de origem para garantir que não são iscas de typosquatting, confiar apenas em projetos e publicadores bem conhecidos com um histórico comprovado, e examinar a atividade recente do repositório em busca de sinais de automação.
Quando possível, sempre examine o código-fonte em busca de ofuscação e execute novas bibliotecas em ambientes isolados para avaliar sua segurança.
Publicidade
Conheça a Solyd One, e tenha acesso a todos os cursos de segurança ofensiva da Solyd, todas as certificações práticas, incluindo a SYCP, 2 CTFs anuais com prêmios de até 30 mil reais, dezenas de laboratórios realísticos, suporte, comunidade e muito mais. Saiba mais...