HomeNews* Peneliti menemukan 35 paket npm jahat baru yang terkait dengan aktor ancaman Korea Utara.
Paket-paket tersebut diunduh lebih dari 4.000 kali dan diposting dari 24 akun npm.
Kampanye ini menggunakan pemuat Malware yang terenkode untuk mengirimkan pencuri informasi dan alat akses jarak jauh.
Penyerang menyamar sebagai perekrut dan menargetkan pengembang dengan penugasan pekerjaan palsu di situs seperti LinkedIn.
Operasi ini bertujuan untuk mencuri cryptocurrency dan data sensitif dari sistem pengembang yang telah terkompromi.
Spesialis keamanan siber telah mengidentifikasi 35 paket npm berbahaya baru yang terkait dengan kampanye serangan siber "Wawancara Menular" yang sedang berlangsung, yang dikaitkan dengan kelompok-kelompok yang disponsori negara dari Korea Utara. Gelombang baru perangkat lunak berbahaya muncul di platform paket sumber terbuka npm dan menargetkan pengembang dan pencari kerja.
Iklan - Menurut Socket, paket-paket ini telah diunggah dari 24 akun npm terpisah dan telah menerima lebih dari 4.000 unduhan. Enam dari paket ini, termasuk “react-plaid-sdk,” “sumsub-node-websdk,” dan “router-parse,” tetap tersedia untuk umum pada saat penemuan.
Setiap paket berisi alat yang disebut HexEval, yang merupakan pemuat berbasis hex yang mengumpulkan informasi tentang komputer host setelah instalasi. HexEval secara selektif menyebarkan program jahat lain bernama BeaverTail, yang dapat mengunduh dan menjalankan pintu belakang berbasis Python yang disebut InvisibleFerret. Urutan ini memungkinkan para peretas untuk mencuri data sensitif dan mengendalikan sistem yang terinfeksi dari jarak jauh. “Struktur nesting-doll ini membantu kampanye untuk menghindari pemindai statis dasar dan tinjauan manual,” kata peneliti Socket Kirill Boychenko.
Kampanye sering kali dimulai ketika pelaku ancaman berpura-pura sebagai perekrut di platform seperti LinkedIn. Mereka menghubungi insinyur perangkat lunak dan mengirimkan penugasan pekerjaan palsu melalui tautan ke proyek yang dihosting di GitHub atau Bitbucket di mana paket npm ini disematkan. Korban kemudian diyakinkan untuk mengunduh dan menjalankan proyek ini, terkadang di luar lingkungan yang aman.
Operasi Contagious Interview, pertama kali dirinci oleh Palo Alto Networks Unit 42 pada akhir 2023, mencari akses tidak sah ke mesin pengembang terutama untuk cryptocurrency dan pencurian data. Kampanye ini juga dikenal dengan nama-nama seperti CL-STA-0240, DeceptiveDevelopment, dan Gwisin Gang.
Socket melaporkan bahwa taktik penyerang saat ini menggabungkan paket open source yang dicampur malware, rekayasa sosial yang disesuaikan, dan mekanisme pengiriman berlapis untuk melewati sistem keamanan. Kampanye ini menunjukkan penyempurnaan yang sedang berlangsung, dengan penambahan keylogger lintas platform dan teknik pengiriman malware baru.
Kegiatan terbaru mencakup penggunaan strategi rekayasa sosial yang disebut ClickFix, yang menyebarkan malware seperti GolangGhost dan PylangGhost. Sub-kampanye ini, ClickFake Interview, terus menargetkan pengembang dengan payload yang disesuaikan untuk pengawasan yang lebih mendalam ketika diperlukan.
Iklan - Informasi lebih lanjut dan daftar lengkap paket npm yang terpengaruh dapat ditemukan melalui pernyataan publik oleh Socket.
Artikel Sebelumnya:
Dompet Argent Berganti Nama Menjadi Ready dengan Strategi Produk Ganda
YESminer Meluncurkan Platform Crypto Berbasis AI Dengan Bonus Gratis
Bank of Korea Ingin Bank Memimpin Penerbitan Stablecoin, Memperhatikan Keamanan
Bernie Sanders memperingatkan AI, robot mengancam pekerjaan; mendesak perlindungan baru
Sidang Senat tentang Struktur Pasar Kripto Hanya Dihadiri Lima Anggota
Iklan -
Lihat Asli
Konten ini hanya untuk referensi, bukan ajakan atau tawaran. Tidak ada nasihat investasi, pajak, atau hukum yang diberikan. Lihat Penafian untuk pengungkapan risiko lebih lanjut.
Malware Npm Korea Utara Menargetkan Pengembang Dalam Wawancara Kerja Palsu
HomeNews* Peneliti menemukan 35 paket npm jahat baru yang terkait dengan aktor ancaman Korea Utara.
Setiap paket berisi alat yang disebut HexEval, yang merupakan pemuat berbasis hex yang mengumpulkan informasi tentang komputer host setelah instalasi. HexEval secara selektif menyebarkan program jahat lain bernama BeaverTail, yang dapat mengunduh dan menjalankan pintu belakang berbasis Python yang disebut InvisibleFerret. Urutan ini memungkinkan para peretas untuk mencuri data sensitif dan mengendalikan sistem yang terinfeksi dari jarak jauh. “Struktur nesting-doll ini membantu kampanye untuk menghindari pemindai statis dasar dan tinjauan manual,” kata peneliti Socket Kirill Boychenko.
Kampanye sering kali dimulai ketika pelaku ancaman berpura-pura sebagai perekrut di platform seperti LinkedIn. Mereka menghubungi insinyur perangkat lunak dan mengirimkan penugasan pekerjaan palsu melalui tautan ke proyek yang dihosting di GitHub atau Bitbucket di mana paket npm ini disematkan. Korban kemudian diyakinkan untuk mengunduh dan menjalankan proyek ini, terkadang di luar lingkungan yang aman.
Operasi Contagious Interview, pertama kali dirinci oleh Palo Alto Networks Unit 42 pada akhir 2023, mencari akses tidak sah ke mesin pengembang terutama untuk cryptocurrency dan pencurian data. Kampanye ini juga dikenal dengan nama-nama seperti CL-STA-0240, DeceptiveDevelopment, dan Gwisin Gang.
Socket melaporkan bahwa taktik penyerang saat ini menggabungkan paket open source yang dicampur malware, rekayasa sosial yang disesuaikan, dan mekanisme pengiriman berlapis untuk melewati sistem keamanan. Kampanye ini menunjukkan penyempurnaan yang sedang berlangsung, dengan penambahan keylogger lintas platform dan teknik pengiriman malware baru.
Kegiatan terbaru mencakup penggunaan strategi rekayasa sosial yang disebut ClickFix, yang menyebarkan malware seperti GolangGhost dan PylangGhost. Sub-kampanye ini, ClickFake Interview, terus menargetkan pengembang dengan payload yang disesuaikan untuk pengawasan yang lebih mendalam ketika diperlukan.
Artikel Sebelumnya: