ГлавнаяНовости* Исследователи обнаружили 35 новых вредоносных npm-пакетов, связанных с угрозой со стороны северокорейских акторов.
Пакеты были загружены более 4000 раз и размещены с 24 npm аккаунтов.
Кампания использует закодированные загрузчики вредоносных программ для доставки программ для кражи информации и инструментов удаленного доступа.
Злоумышленники выдают себя за рекрутеров и нацеливаются на разработчиков с поддельными заданиями на таких сайтах, как LinkedIn.
Операция направлена на кражу криптовалюты и конфиденциальных данных из скомпрометированных систем разработчиков.
Специалисты по кибербезопасности выявили 35 новых вредоносных npm-пакетов, связанных с текущей кибератакой "Заразительное интервью", которая приписывается поддерживаемым государством группам из Северной Кореи. Новая волна вредоносного ПО появилась на платформе npm для открытых пакетов и нацелена на разработчиков и соискателей.
Реклама - Согласно Socket, эти пакеты были загружены из 24 отдельных аккаунтов npm и получили более 4000 загрузок. Шесть из этих пакетов, включая "react-plaid-sdk", "sumsub-node-websdk" и "router-parse", оставались доступными для публики на момент обнаружения.
Каждый пакет содержит инструмент под названием HexEval, который является загрузчиком в шестнадцатеричном коде, собирающим информацию о компьютере-хозяине после установки. HexEval выборочно разворачивает другую вредоносную программу под названием BeaverTail, которая может загрузить и запустить бэкдор на основе Python под названием InvisibleFerret. Эта последовательность позволяет хакерам красть конфиденциальные данные и удаленно контролировать зараженную систему. “Эта структура в виде матрешки помогает кампании избегать основных статических сканеров и ручных проверок,” заявил исследователь Socket Кирилл Бойченко.
Кампания часто начинается, когда злоумышленники выдают себя за рекрутеров на платформах, таких как LinkedIn. Они связываются с разработчиками программного обеспечения и отправляют поддельные задания на работу через ссылки на проекты, размещенные на GitHub или Bitbucket, где встроены эти npm пакеты. Жертвам затем убеждают загрузить и запустить эти проекты, иногда вне безопасных сред.
Операция Contagious Interview, впервые описанная Palo Alto Networks Unit 42 в конце 2023 года, стремится получить несанкционированный доступ к машинам разработчиков, в первую очередь для кражи криптовалюты и данных. Кампания также известна под названиями CL-STA-0240, DeceptiveDevelopment и Gwisin Gang.
Socket сообщает, что текущие тактики атакующих сочетают в себе открытые пакеты с вредоносным ПО, адаптированный социальный инжиниринг и многоуровневые механизмы доставки для обхода систем безопасности. Кампания демонстрирует постоянное совершенствование с добавлением кросс-платформенных кейлоггеров и новых техник доставки вредоносного ПО.
Недавняя активность включает в себя использование стратегии социальной инженерии под названием ClickFix, которая доставляет вредоносные программы, такие как GolangGhost и PylangGhost. Эта подкампания ClickFake Interview по-прежнему нацелена на разработчиков с помощью настраиваемых полезных нагрузок для более глубокого наблюдения, когда это необходимо.
Реклама - Более подробную информацию и полный список затронутых пакетов npm можно найти в публичном заявлении Socket.
Предыдущие статьи:
Argent Wallet переименован в Ready с двойной стратегией продуктов
YESminer запускает платформу криптовалют с поддержкой ИИ и бесплатными бонусами
Банк Кореи хочет, чтобы банки возглавили эмиссию стейблкоинов, обращая внимание на безопасность
Берни Сандерс предостерегает, что ИИ и роботы угрожают рабочим местам; призывает к новым мерам защиты
Сенатские слушания по структуре криптовалютного рынка привлекли всего пять членов
Реклама -
Посмотреть Оригинал
Содержание носит исключительно справочный характер и не является предложением или офертой. Консультации по инвестициям, налогообложению или юридическим вопросам не предоставляются. Более подробную информацию о рисках см. в разделе «Дисклеймер».
Малварь Npm из Северной Кореи нацелена на разработчиков в поддельных собеседованиях
ГлавнаяНовости* Исследователи обнаружили 35 новых вредоносных npm-пакетов, связанных с угрозой со стороны северокорейских акторов.
Каждый пакет содержит инструмент под названием HexEval, который является загрузчиком в шестнадцатеричном коде, собирающим информацию о компьютере-хозяине после установки. HexEval выборочно разворачивает другую вредоносную программу под названием BeaverTail, которая может загрузить и запустить бэкдор на основе Python под названием InvisibleFerret. Эта последовательность позволяет хакерам красть конфиденциальные данные и удаленно контролировать зараженную систему. “Эта структура в виде матрешки помогает кампании избегать основных статических сканеров и ручных проверок,” заявил исследователь Socket Кирилл Бойченко.
Кампания часто начинается, когда злоумышленники выдают себя за рекрутеров на платформах, таких как LinkedIn. Они связываются с разработчиками программного обеспечения и отправляют поддельные задания на работу через ссылки на проекты, размещенные на GitHub или Bitbucket, где встроены эти npm пакеты. Жертвам затем убеждают загрузить и запустить эти проекты, иногда вне безопасных сред.
Операция Contagious Interview, впервые описанная Palo Alto Networks Unit 42 в конце 2023 года, стремится получить несанкционированный доступ к машинам разработчиков, в первую очередь для кражи криптовалюты и данных. Кампания также известна под названиями CL-STA-0240, DeceptiveDevelopment и Gwisin Gang.
Socket сообщает, что текущие тактики атакующих сочетают в себе открытые пакеты с вредоносным ПО, адаптированный социальный инжиниринг и многоуровневые механизмы доставки для обхода систем безопасности. Кампания демонстрирует постоянное совершенствование с добавлением кросс-платформенных кейлоггеров и новых техник доставки вредоносного ПО.
Недавняя активность включает в себя использование стратегии социальной инженерии под названием ClickFix, которая доставляет вредоносные программы, такие как GolangGhost и PylangGhost. Эта подкампания ClickFake Interview по-прежнему нацелена на разработчиков с помощью настраиваемых полезных нагрузок для более глубокого наблюдения, когда это необходимо.
Предыдущие статьи: