Pesquisadores de cibersegurança descobriram um novo lote de pacotes npm maliciosos vinculados à operação Contagious Interview em andamento, originária da Coreia do Norte.
De acordo com a Socket, o ataque à cadeia de suprimentos em curso envolve 35 pacotes maliciosos que foram carregados de 24 contas npm.
Esses pacotes foram coletivamente baixados mais de 4.000 vezes.
A lista completa das bibliotecas JavaScript é a seguinte:
- react-plaid-sdk
- sumsub-node-websdk
- vite-plugin-next-refresh
- vite-plugin-purify
- nextjs-insight
- vite-plugin-svgn
- node-loggers
- react-logs
- reactbootstraps
- framer-motion-ext
- serverlog-dispatch
- mongo-errorlog
- next-log-patcher
- vite-plugin-tools
- pixel-percent
- test-topdev-logger-v1
- test-topdev-logger-v3
- server-log-engine
- logbin-nodejs
- vite-loader-svg
- struct-logger
- flexible-loggers
- beautiful-plugins
- chalk-config
- jsonpacks
- jsonspecific
- jsonsecs
- util-buffers
- blur-plugins
- proc-watch
- node-orm-mongoose
- prior-config
- use-videos
- lucide-node, e
- router-parse
Desses, seis continuam disponíveis para download do npm: react-plaid-sdk, sumsub-node-websdk, vite-plugin-next-refresh, vite-loader-svg, node-orm-mongoose e router-parse.
Cada um dos pacotes npm identificados contém um carregador codificado em hexadecimal apelidado de HexEval, que é projetado para coletar informações do host após a instalação e entregar seletivamente um payload subsequente responsável por entregar um conhecido JavaScript stealer chamado BeaverTail.
O BeaverTail, por sua vez, é configurado para baixar e executar um backdoor Python chamado InvisibleFerret, possibilitando aos atores de ameaças coletar dados sensíveis e estabelecer controle remoto dos hosts infectados.
"Essa estrutura em forma de boneca russa ajuda a campanha a evadir scanners estáticos básicos e revisões manuais", disse o pesquisador da Socket, Kirill Boychenko.
Um alias npm também enviou um pacote de keylogger multiplataforma que captura cada tecla pressionada, mostrando a prontidão dos atores de ameaças para personalizar payloads úteis para uma vigilância mais profunda quando o alvo justifica.
Contagious Interview, documentada publicamente pela primeira vez pela Palo Alto Networks Unit 42 no final de 2023, é uma campanha em andamento realizada por atores de ameaças patrocinados pelo estado norte-coreano para obter acesso não autorizado aos sistemas de desenvolvedores com o objetivo de conduzir roubo de criptomoedas e dados.
O agrupamento também é amplamente rastreado sob os codinomes CL-STA-0240, DeceptiveDevelopment, DEV#POPPER, Famous Chollima, Gwisin Gang, Tenacious Pungsan, UNC5342 e Void Dokkaebi.
Iterações recentes da campanha também foram observadas aproveitando a tática de engenharia social ClickFix para entregar malwares como GolangGhost e PylangGhost.
Este subconjunto de atividades foi designado com o nome ClickFake Interview.
As descobertas mais recentes da Socket apontam para uma abordagem multifacetada onde os atores de ameaças de Pyongyang estão adotando vários métodos para enganar os alvos em potencial a instalar malwares sob o pretexto de uma entrevista ou uma reunião no Zoom.
O desdobramento npm da Contagious Interview geralmente envolve os atacantes se passando por recrutadores no LinkedIn, enviando para os candidatos a emprego e desenvolvedores atribuições de codificação, compartilhando um link para um projeto malicioso hospedado no GitHub ou Bitbucket que incorpora os pacotes npm neles.
"Eles miram em engenheiros de software que estão ativamente procurando emprego, explorando a confiança que os candidatos a emprego normalmente depositam em recrutadores", disse Boychenko.
Pessoas fictícias iniciam contato, muitas vezes com mensagens de alcance roteirizadas e descrições de trabalho convincentes.
As vítimas são então persuadidas a clonar e executar esses projetos fora de ambientes containerizados durante o suposto processo de entrevista.
"Esta campanha maliciosa destaca uma evolução na prática de ataques à cadeia de suprimentos norte-coreana, uma que mistura preparação de malwares, mira conduzida por OSINT e engenharia social para comprometer desenvolvedores através de ecossistemas confiáveis", disse a Socket.
Ao embutir carregadores de malware como HexEval em pacotes de código aberto e entregá-los por meio de atribuições de trabalho falsas, os atores de ameaças contornam as defesas de perímetro e ganham execução nos sistemas dos desenvolvedores alvo.
A estrutura de múltiplas etapas da campanha, pegada mínima no registro e a tentativa de evadir ambientes containerizados apontam para um adversário bem-recursado refinando seus métodos de intrusão em tempo real.
Publicidade
Tenha acesso aos melhores hackers éticos do mercado através de um serviço personalizado, especializado e adaptado para o seu negócio. Qualidade, confiança e especialidade em segurança ofensiva de quem já protegeu centenas de empresas. Saiba mais...