Os atores de ameaças norte-coreanos por trás da campanha Contagious Interview em andamento estão expandindo suas influências no ecossistema npm, publicando pacotes maliciosos adicionais que distribuem o malware BeaverTail, bem como um novo loader de trojan de acesso remoto (RAT).
"Essas amostras mais recentes usam codificação de strings hexadecimais para evadir sistemas de detecção automatizados e auditorias de código manual, sinalizando uma variação nas técnicas de ofuscação dos atores de ameaça," disse o pesquisador de segurança da Socket, Kirill Boychenko, em um relatório.
Os pacotes em questão, que foram coletivamente baixados mais de 5.600 vezes antes de sua remoção, são listados abaixo:
- empty-array-validator
- twitterapis
- dev-debugger-vite
- snore-log
- core-pino
- events-utils
- icloud-cod
- cln-logger
- node-clog
- consolidate-log
- consolidate-logger
A divulgação vem quase um mês após um conjunto de seis pacotes npm ter sido descoberto distribuindo o BeaverTail, um stealer JavaScript que também é capaz de entregar um backdoor baseado em Python apelidado de InvisibleFerret.
O objetivo final da campanha é infiltrar-se em sistemas de desenvolvedores sob o pretexto de um processo de entrevista de emprego, roubar dados sensíveis, desviar ativos financeiros e manter acesso de longo prazo a sistemas comprometidos.
As novas bibliotecas npm identificadas se disfarçam como utilitários e depuradores, com uma delas - dev-debugger-vite - usando um endereço de comando e controle (C2) previamente sinalizado pelo SecurityScorecard como utilizado pelo Grupo Lazarus em uma campanha apelidada de Phantom Circuit em dezembro de 2024.
O que faz esses pacotes se destacarem é que alguns deles, como events-utils e icloud-cod, estão vinculados a repositórios no Bitbucket, ao contrário do GitHub.
Além disso, o pacote icloud-cod foi encontrado hospedado dentro de um diretório chamado "eiwork_hire", reiterando o uso de temas relacionados a entrevistas pelo ator de ameaça para ativar a infecção.
Uma análise dos pacotes, cln-logger, node-clog, consolidate-log e consolidate-logger, também revelou pequenas variações no nível do código, indicando que os atacantes estão publicando múltiplas variantes de malware na tentativa de aumentar a taxa de sucesso da campanha.
Independentemente das mudanças, o código malicioso embutido nos quatro pacotes funciona como um loader de RAT que é capaz de propagar um payload de próxima fase de um servidor remoto.
Boychenko disse ao The Hacker News que a natureza exata do malware sendo propagado via loader permanece desconhecida nesta fase devido ao fato de que os endpoints C2 não estavam mais servindo payloads.
"O código funciona como um loader de malware ativo com capacidades de RAT," disse Boychenko.
"Ele busca e executa JavaScript remoto via eval(), permitindo que os atacantes norte-coreanos executem código arbitrário em sistemas infectados.
Esse comportamento permite que eles implementem qualquer malware subsequente de sua escolha, tornando o loader uma ameaça significativa por si só."
Os achados ilustram a natureza persistente de Contagious Interview, que, além de representar uma ameaça sustentada às cadeias de suprimentos de software, também adotou a infame tática de engenharia social ClickFix para distribuir malware.
"Os atores de ameaça de Contagious Interview continuam a criar novas contas npm e a implantar código malicioso em plataformas como o registro npm, GitHub e Bitbucket, demonstrando sua persistência e não mostrando sinais de desaceleração," disse Boychenko.
"O grupo de ameaça persistente avançada (APT) está diversificando suas táticas - publicando novos malwares sob novos pseudônimos, hospedando payloads em repositórios tanto no GitHub quanto no Bitbucket, e reutilizando componentes centrais como BeaverTail e InvisibleFerret junto com a nova variante observada de RAT/loader."
BeaverTail Drops Tropidoor
A descoberta dos novos pacotes npm ocorre enquanto a empresa sul-coreana de cibersegurança AhnLab detalhou uma campanha de phishing temática de recrutamento que entrega o BeaverTail, que é então usado para implementar um backdoor para Windows anteriormente não documentado apelidado de Tropidoor.
Artefatos analisados pela empresa mostram que o BeaverTail está sendo usado para mirar ativamente desenvolvedores na Coreia do Sul.
A mensagem de e-mail, que alegava ser de uma empresa chamada AutoSquare, continha um link para um projeto hospedado no Bitbucket, instando o destinatário a clonar o projeto localmente em sua máquina para revisar seu entendimento do programa.
O aplicativo não é nada além de uma biblioteca npm que contém BeaverTail ("tailwind.config.js") e um malware de download de DLL ("car.dll"), este último sendo lançado pelo JavaScript stealer e loader.
Tropidoor é um backdoor "operando na memória através do downloader" que é capaz de contatar um servidor C2 para receber instruções que possibilitam exfiltrar arquivos, coletar informações de drive e arquivo, executar e terminar processos, capturar telas e deletar ou limpar arquivos sobrescrevendo-os com NULL ou dados inúteis.
Um aspecto importante do implante é que ele implementa diretamente comandos do Windows, como schtasks, ping e reg, uma característica previamente observada em outro malware do Grupo Lazarus chamado LightlessCan, que por sua vez é sucessor de BLINDINGCAN (também conhecido como AIRDRY ou ZetaNile).
"Os usuários devem ter cuidado não apenas com anexos de e-mail, mas também com arquivos executáveis de fontes desconhecidas," disse a AhnLab.
Publicidade
Tenha acesso aos melhores hackers éticos do mercado através de um serviço personalizado, especializado e adaptado para o seu negócio. Qualidade, confiança e especialidade em segurança ofensiva de quem já protegeu centenas de empresas. Saiba mais...