HomeNews* Pesquisadores descobriram 35 novos pacotes npm maliciosos ligados a atores de ameaça da Coreia do Norte.
Os pacotes foram descarregados mais de 4.000 vezes e publicados a partir de 24 contas npm.
A campanha utiliza carregadores de Malware codificados para entregar roubadores de informações e ferramentas de acesso remoto.
Os atacantes se passam por recrutadores e atacam desenvolvedores com atribuições de trabalho falsas em sites como o LinkedIn.
A operação visa roubar criptomoedas e dados sensíveis de sistemas de desenvolvedores comprometidos.
Especialistas em cibersegurança identificaram 35 novos pacotes npm prejudiciais ligados à campanha de ciberataques em curso "Entrevista Contagiosa", que é atribuída a grupos patrocinados pelo estado da Coreia do Norte. A nova onda de software malicioso apareceu na plataforma de pacotes de código aberto npm e tem como alvo desenvolvedores e candidatos a empregos.
Anúncio - De acordo com Socket, esses pacotes foram carregados de 24 contas npm separadas e receberam mais de 4.000 downloads. Seis desses pacotes, incluindo “react-plaid-sdk,” “sumsub-node-websdk,” e “router-parse,” permaneceram disponíveis publicamente no momento da descoberta.
Cada pacote contém uma ferramenta chamada HexEval, que é um carregador codificado em hexadecimais que coleta informações sobre o computador hospedeiro após a instalação. O HexEval implanta seletivamente outro programa malicioso chamado BeaverTail, que pode baixar e executar um backdoor baseado em Python chamado InvisibleFerret. Esta sequência permite que os hackers roubem dados sensíveis e controlem remotamente o sistema infectado. "Esta estrutura em forma de boneca russa ajuda a campanha a evitar scanners estáticos básicos e revisões manuais," afirmou o pesquisador da Socket Kirill Boychenko.
A campanha frequentemente começa quando atores de ameaça se fazem passar por recrutadores em plataformas como o LinkedIn. Eles contactam engenheiros de software e enviam falsas propostas de emprego através de links para projetos hospedados no GitHub ou Bitbucket, onde esses pacotes npm estão incorporados. As vítimas são então convencidas a descarregar e executar esses projetos, às vezes fora de ambientes seguros.
A operação Contagious Interview, detalhada pela Palo Alto Networks Unit 42 no final de 2023, busca acesso não autorizado a máquinas de desenvolvedores principalmente para roubo de criptomoedas e dados. A campanha também é conhecida por nomes como CL-STA-0240, DeceptiveDevelopment e Gwisin Gang.
O Socket relata que as táticas atuais dos atacantes combinam pacotes de código aberto contaminados com malware, engenharia social personalizada e mecanismos de entrega em camadas para contornar os sistemas de segurança. A campanha mostra um aperfeiçoamento contínuo, com a adição de keyloggers multiplataforma e novas técnicas de entrega de malware.
A atividade recente inclui o uso de uma estratégia de engenharia social chamada ClickFix, que entrega malware como GolangGhost e PylangGhost. Esta subcampanha, ClickFake Interview, continua a visar desenvolvedores com cargas personalizadas para uma vigilância mais profunda quando necessário.
Anúncio - Mais detalhes e a lista completa dos pacotes npm afetados podem ser encontrados através da declaração pública da Socket.
Artigos Anteriores:
Argent Wallet muda de marca para Ready com uma estratégia de produto dupla
YESminer Lança Plataforma de Cripto com Inteligência Artificial e Bónus Gratuitos
O Banco da Coreia Quer que os Bancos Liderem a Emissão de Stablecoins, Foca na Segurança
Bernie Sanders Adverte que IA e Robôs Ameaçam Empregos; Urge Novas Proteções
Audiência do Senado sobre a Estrutura do Mercado de Cripto Atrai Apenas Cinco Membros
Anúncio -
Ver original
O conteúdo é apenas para referência, não uma solicitação ou oferta. Nenhum aconselhamento fiscal, de investimento ou jurídico é fornecido. Consulte a isenção de responsabilidade para obter mais informações sobre riscos.
Malware Npm da Coreia do Norte Alvo de Desenvolvedores em Falsas Entrevistas de Trabalho
HomeNews* Pesquisadores descobriram 35 novos pacotes npm maliciosos ligados a atores de ameaça da Coreia do Norte.
Cada pacote contém uma ferramenta chamada HexEval, que é um carregador codificado em hexadecimais que coleta informações sobre o computador hospedeiro após a instalação. O HexEval implanta seletivamente outro programa malicioso chamado BeaverTail, que pode baixar e executar um backdoor baseado em Python chamado InvisibleFerret. Esta sequência permite que os hackers roubem dados sensíveis e controlem remotamente o sistema infectado. "Esta estrutura em forma de boneca russa ajuda a campanha a evitar scanners estáticos básicos e revisões manuais," afirmou o pesquisador da Socket Kirill Boychenko.
A campanha frequentemente começa quando atores de ameaça se fazem passar por recrutadores em plataformas como o LinkedIn. Eles contactam engenheiros de software e enviam falsas propostas de emprego através de links para projetos hospedados no GitHub ou Bitbucket, onde esses pacotes npm estão incorporados. As vítimas são então convencidas a descarregar e executar esses projetos, às vezes fora de ambientes seguros.
A operação Contagious Interview, detalhada pela Palo Alto Networks Unit 42 no final de 2023, busca acesso não autorizado a máquinas de desenvolvedores principalmente para roubo de criptomoedas e dados. A campanha também é conhecida por nomes como CL-STA-0240, DeceptiveDevelopment e Gwisin Gang.
O Socket relata que as táticas atuais dos atacantes combinam pacotes de código aberto contaminados com malware, engenharia social personalizada e mecanismos de entrega em camadas para contornar os sistemas de segurança. A campanha mostra um aperfeiçoamento contínuo, com a adição de keyloggers multiplataforma e novas técnicas de entrega de malware.
A atividade recente inclui o uso de uma estratégia de engenharia social chamada ClickFix, que entrega malware como GolangGhost e PylangGhost. Esta subcampanha, ClickFake Interview, continua a visar desenvolvedores com cargas personalizadas para uma vigilância mais profunda quando necessário.
Artigos Anteriores: