北朝鮮のNpmマルウェアが偽の職業面接で開発者を標的に

ホームニュース* 研究者たちは、北朝鮮の脅威活動者に関連する35の新しい悪意のあるnpmパッケージを発見しました。

• パッケージは4,000回以上ダウンロードされ、24のnpmアカウントから投稿されました。
• このキャンペーンは、情報を盗むツールやリモートアクセスツールを配信するために、エンコードされたマルウェアローダーを使用しています。
• 攻撃者はリクルーターを装い、LinkedInのようなサイトで偽の仕事の割り当てを持つ開発者を狙います。
• この操作は、侵害された開発者システムから暗号通貨と機密データを盗むことを目的としています。 サイバーセキュリティの専門家は、北朝鮮の国家支援グループに起因する進行中の「感染性インタビュー」サイバー攻撃キャンペーンに関連する35の新しい有害なnpmパッケージを特定しました。この新たな悪意のあるソフトウェアの波は、npmのオープンソースパッケージプラットフォームに現れ、開発者や求職者をターゲットにしています。

• 広告 - Socketによると、これらのパッケージは24の別々のnpmアカウントからアップロードされ、4,000回以上のダウンロードを受けています。これらのパッケージのうち、「react-plaid-sdk」、「sumsub-node-websdk」、および「router-parse」を含む6つは、発見時点で公開されていました。

各パッケージには、インストール後にホストコンピュータに関する情報を収集する16進エンコードのローダーであるHexEvalと呼ばれるツールが含まれています。HexEvalは、BeaverTailと呼ばれる別の悪意のあるプログラムを選択的に展開し、InvisibleFerretと呼ばれるPythonベースのバックドアをダウンロードして実行することができます。このシーケンスにより、ハッカーは機密データを盗み、感染したシステムをリモートで制御することができます。「この入れ子構造はキャンペーンが基本的な静的スキャナーや手動レビューを回避するのに役立ちます」と、Socketの研究者キリル・ボイチェンコは述べています。

このキャンペーンは、脅威の行為者がLinkedInのようなプラットフォームでリクルーターを装うときにしばしば始まります。彼らはソフトウェアエンジニアに連絡し、これらのnpmパッケージが埋め込まれたGitHubやBitbucketにホストされたプロジェクトへのリンクを介して偽のジョブアサインメントを送信します。被害者はその後、これらのプロジェクトをダウンロードして実行するように説得され、時には安全な環境の外で実行されます。

2023年後半にパロアルトネットワークスのUnit 42が初めて詳述した「Contagious Interview」作戦は、主に暗号通貨とデータ窃盗を目的として、開発者マシンへの不正アクセスを狙っています。このキャンペーンは、CL-STA-0240、DeceptiveDevelopment、Gwisin Gangなどの名前でも知られています。

Socketは、現在の攻撃者の戦術がマルウェアを含むオープンソースパッケージ、カスタマイズされたソーシャルエンジニアリング、そしてセキュリティシステムを回避するための多層的な配信メカニズムを組み合わせていると報告しています。このキャンペーンは継続的に洗練されており、クロスプラットフォームのキーロガーや新しいマルウェア配信技術が追加されています。

最近の活動には、ClickFixというソーシャルエンジニアリング戦略の使用が含まれており、GolangGhostやPylangGhostなどのマルウェアを配信します。このサブキャンペーン、ClickFake Interviewは、必要に応じてより深い監視のためにカスタマイズされたペイロードで開発者を引き続きターゲットにしています。

• 広告 - 影響を受けたnpmパッケージの詳細および完全なリストは、Socketによる公表声明を通じて見つけることができます。

####前の記事:

• アルジェントウォレットがデュアルプロダクト戦略でレディにリブランド
• YESminerが無料ボーナス付きのAI搭載暗号プラットフォームをローンチ
• 韓国銀行、銀行にステーブルコイン発行を主導させ、安全性を重視
• バーニー・サンダースが警告、AIとロボットが仕事を脅かす; 新しい保護を促す
• 暗号市場構造に関する上院公聴会に出席したのはわずか5人のメンバー

-広告-