AccueilActualités* Des chercheurs ont découvert 35 nouveaux paquets npm malveillants liés à des acteurs de menace nord-coréens.
Les packages ont été téléchargés plus de 4 000 fois et publiés depuis 24 comptes npm.
La campagne utilise des chargeurs de logiciels malveillants encodés pour livrer des voleurs d'informations et des outils d'accès à distance.
Les attaquants se font passer pour des recruteurs et ciblent les développeurs avec de faux emplois sur des sites comme LinkedIn.
L'opération vise à voler des cryptomonnaies et des données sensibles à partir de systèmes de développeurs compromis.
Des spécialistes de la cybersécurité ont identifié 35 nouveaux packages npm nuisibles liés à la campagne d'attaque cybernétique en cours "Contagious Interview", attribuée à des groupes soutenus par l'État de Corée du Nord. Cette nouvelle vague de logiciels malveillants est apparue sur la plateforme de packages open-source npm et cible les développeurs et les chercheurs d'emploi.
Publicité - Selon Socket, ces paquets ont été téléchargés à partir de 24 comptes npm distincts et ont reçu plus de 4 000 téléchargements. Six de ces paquets, y compris “react-plaid-sdk”, “sumsub-node-websdk” et “router-parse”, étaient toujours accessibles au public au moment de la découverte.
Chaque package contient un outil appelé HexEval, qui est un chargeur hexadécimal qui collecte des informations sur l'ordinateur hôte après l'installation. HexEval déploie sélectivement un autre programme malveillant nommé BeaverTail, qui peut télécharger et exécuter un backdoor basé sur Python appelé InvisibleFerret. Cette séquence permet aux hackers de voler des données sensibles et de contrôler à distance le système infecté. “Cette structure en poupée russe aide la campagne à éviter les scanners statiques de base et les revues manuelles,” a déclaré le chercheur de Socket Kirill Boychenko.
La campagne commence souvent lorsque des acteurs malveillants se font passer pour des recruteurs sur des plateformes comme LinkedIn. Ils contactent des ingénieurs logiciels et envoient de fausses offres d'emploi via des liens vers des projets hébergés sur GitHub ou Bitbucket où ces packages npm sont intégrés. Les victimes sont alors convaincues de télécharger et d'exécuter ces projets, parfois en dehors d'environnements sécurisés.
L'opération Contagious Interview, d'abord détaillée par Palo Alto Networks Unit 42 à la fin de 2023, vise un accès non autorisé aux machines des développeurs principalement pour le vol de cryptomonnaie et de données. La campagne est également connue sous des noms tels que CL-STA-0240, DeceptiveDevelopment et Gwisin Gang.
Socket rapporte que les tactiques actuelles des attaquants combinent des packages open source chargés de malware, une ingénierie sociale sur mesure et des mécanismes de livraison en couches pour contourner les systèmes de sécurité. La campagne montre un raffinement continu, avec l'ajout de keyloggers multiplateformes et de nouvelles techniques de livraison de malware.
Les activités récentes incluent l'utilisation d'une stratégie d'ingénierie sociale appelée ClickFix, qui livre des logiciels malveillants tels que GolangGhost et PylangGhost. Cette sous-campagne, ClickFake Interview, continue de cibler les développeurs avec des charges utiles personnalisées pour une surveillance plus approfondie si nécessaire.
Publicité - Plus de détails et la liste complète des packages npm affectés peuvent être trouvés dans la déclaration publique de Socket.
Articles Précédents :
Argent Wallet se renomme Ready avec une stratégie produit duale
YESminer lance une plateforme crypto alimentée par l'IA avec des bonus gratuits
La Banque de Corée veut que les banques mènent l'émission de stablecoins, vise la sécurité
Bernie Sanders avertit que l'IA et les robots menacent les emplois ; appelle à de nouvelles protections
L'audience du Sénat sur la structure du marché des cryptomonnaies n'attire que cinq membres
Publicité -
Voir l'original
Le contenu est fourni à titre de référence uniquement, il ne s'agit pas d'une sollicitation ou d'une offre. Aucun conseil en investissement, fiscalité ou juridique n'est fourni. Consultez l'Avertissement pour plus de détails sur les risques.
Le malware Npm nord-coréen cible les développeurs lors de faux entretiens d'embauche
AccueilActualités* Des chercheurs ont découvert 35 nouveaux paquets npm malveillants liés à des acteurs de menace nord-coréens.
Chaque package contient un outil appelé HexEval, qui est un chargeur hexadécimal qui collecte des informations sur l'ordinateur hôte après l'installation. HexEval déploie sélectivement un autre programme malveillant nommé BeaverTail, qui peut télécharger et exécuter un backdoor basé sur Python appelé InvisibleFerret. Cette séquence permet aux hackers de voler des données sensibles et de contrôler à distance le système infecté. “Cette structure en poupée russe aide la campagne à éviter les scanners statiques de base et les revues manuelles,” a déclaré le chercheur de Socket Kirill Boychenko.
La campagne commence souvent lorsque des acteurs malveillants se font passer pour des recruteurs sur des plateformes comme LinkedIn. Ils contactent des ingénieurs logiciels et envoient de fausses offres d'emploi via des liens vers des projets hébergés sur GitHub ou Bitbucket où ces packages npm sont intégrés. Les victimes sont alors convaincues de télécharger et d'exécuter ces projets, parfois en dehors d'environnements sécurisés.
L'opération Contagious Interview, d'abord détaillée par Palo Alto Networks Unit 42 à la fin de 2023, vise un accès non autorisé aux machines des développeurs principalement pour le vol de cryptomonnaie et de données. La campagne est également connue sous des noms tels que CL-STA-0240, DeceptiveDevelopment et Gwisin Gang.
Socket rapporte que les tactiques actuelles des attaquants combinent des packages open source chargés de malware, une ingénierie sociale sur mesure et des mécanismes de livraison en couches pour contourner les systèmes de sécurité. La campagne montre un raffinement continu, avec l'ajout de keyloggers multiplateformes et de nouvelles techniques de livraison de malware.
Les activités récentes incluent l'utilisation d'une stratégie d'ingénierie sociale appelée ClickFix, qui livre des logiciels malveillants tels que GolangGhost et PylangGhost. Cette sous-campagne, ClickFake Interview, continue de cibler les développeurs avec des charges utiles personnalisées pour une surveillance plus approfondie si nécessaire.
Articles Précédents :