ГоловнаНовини* Дослідники виявили 35 нових шкідливих npm-пакетів, пов'язаних з актерами загрози з Північної Кореї.
Пакунки були завантажені понад 4,000 разів і опубліковані з 24 облікових записів npm.
Кампанія використовує закодовані завантажувачі шкідливих програм для доставки викрадальників інформації та інструментів віддаленого доступу.
Зловмисники маскуються під рекрутерів і націлюються на розробників з фальшивими завданнями на таких сайтах, як LinkedIn.
Операція має на меті вкрасти криптовалюту та чутливі дані з скомпрометованих систем розробників.
Спеціалісти з кібербезпеки виявили 35 нових шкідливих npm пакетів, пов'язаних з триваючою кібер-атакою "Заразливе Інтерв'ю", яка приписується державним групам з Північної Кореї. Нова хвиля шкідливого програмного забезпечення з'явилася на платформі npm для відкритих пакетів і націлена на розробників та шукачів роботи.
Реклама - За даними Socket, ці пакети були завантажені з 24 окремих облікових записів npm і отримали понад 4,000 завантажень. Шість з цих пакетів, включаючи "react-plaid-sdk", "sumsub-node-websdk" і "router-parse", залишалися загальнодоступними на момент виявлення.
Кожен пакет містить інструмент під назвою HexEval, який є завантажувачем у шістнадцятковому кодуванні, що збирає інформацію про хост-комп'ютер після встановлення. HexEval вибірково розгортає іншу шкідливу програму під назвою BeaverTail, яка може завантажити та запустити обхідний шлях на базі Python під назвою InvisibleFerret. Ця послідовність дозволяє хакерам викрадати чутливі дані та віддалено контролювати інфіковану систему. “Ця структура матрьошки допомагає кампанії уникати основних статичних сканерів і ручних перевірок,” заявив дослідник Socket Кирило Бойченко.
Кампанія часто починається, коли зловмисники видають себе за рекрутерів на таких платформах, як LinkedIn. Вони зв'язуються з інженерами-програмістами та надсилають фальшиві завдання через посилання на проекти, розміщені на GitHub або Bitbucket, де вбудовані ці пакети npm. Потім жертв переконують завантажити та запустити ці проєкти, іноді поза безпечними середовищами.
Операція «Заразне інтерв'ю», вперше детально описана підрозділом 42 Palo Alto Networks наприкінці 2023 року, спрямована на несанкціонований доступ до машин розробників насамперед для криптовалюти та крадіжки даних. Кампанія також відома під такими назвами, як CL-STA-0240, DeceptiveDevelopment і Gwisin Gang.
Socket повідомляє, що поточна тактика зловмисників поєднує пакети з відкритим вихідним кодом із шкідливим програмним забезпеченням, індивідуальну соціальну інженерію та багаторівневі механізми доставки для обходу систем безпеки. Кампанія демонструє постійне вдосконалення, з додаванням кросплатформних кейлогерів і нових методів доставки шкідливого програмного забезпечення.
Остання активність включає використання стратегії соціальної інженерії під назвою ClickFix, яка доставляє шкідливе ПЗ, таке як GolangGhost і PylangGhost. Ця підкампанія, ClickFake Interview, продовжує націлюватися на розробників з налаштованими навантаженнями для глибшого нагляду, коли це необхідно.
Реклама - Більше деталей та повний список постраждалих npm-пакетів можна знайти через публічну заяву Socket.
Попередні статті:
Argent Wallet перейменовується в Ready з подвійною продуктовою стратегією
YESminer запускає платформу криптовалют з підтримкою штучного інтелекту з безкоштовними бонусами
Банк Кореї хоче, щоб банки лідирували у випуску стейблкоїнів, безпека очей
Берні Сандерс попереджає, що ШІ та роботи загрожують робочим місцям; закликає до нових заходів захисту
Сенатські слухання щодо структури ринку криптовалют залучили лише п'ять членів
Реклама -
Переглянути оригінал
Контент має виключно довідковий характер і не є запрошенням до участі або пропозицією. Інвестиційні, податкові чи юридичні консультації не надаються. Перегляньте Відмову від відповідальності , щоб дізнатися більше про ризики.
Північнокорейське шкідливе ПЗ Npm націлене на розробників під час фальшивих співбесід.
ГоловнаНовини* Дослідники виявили 35 нових шкідливих npm-пакетів, пов'язаних з актерами загрози з Північної Кореї.
Кожен пакет містить інструмент під назвою HexEval, який є завантажувачем у шістнадцятковому кодуванні, що збирає інформацію про хост-комп'ютер після встановлення. HexEval вибірково розгортає іншу шкідливу програму під назвою BeaverTail, яка може завантажити та запустити обхідний шлях на базі Python під назвою InvisibleFerret. Ця послідовність дозволяє хакерам викрадати чутливі дані та віддалено контролювати інфіковану систему. “Ця структура матрьошки допомагає кампанії уникати основних статичних сканерів і ручних перевірок,” заявив дослідник Socket Кирило Бойченко.
Кампанія часто починається, коли зловмисники видають себе за рекрутерів на таких платформах, як LinkedIn. Вони зв'язуються з інженерами-програмістами та надсилають фальшиві завдання через посилання на проекти, розміщені на GitHub або Bitbucket, де вбудовані ці пакети npm. Потім жертв переконують завантажити та запустити ці проєкти, іноді поза безпечними середовищами.
Операція «Заразне інтерв'ю», вперше детально описана підрозділом 42 Palo Alto Networks наприкінці 2023 року, спрямована на несанкціонований доступ до машин розробників насамперед для криптовалюти та крадіжки даних. Кампанія також відома під такими назвами, як CL-STA-0240, DeceptiveDevelopment і Gwisin Gang.
Socket повідомляє, що поточна тактика зловмисників поєднує пакети з відкритим вихідним кодом із шкідливим програмним забезпеченням, індивідуальну соціальну інженерію та багаторівневі механізми доставки для обходу систем безпеки. Кампанія демонструє постійне вдосконалення, з додаванням кросплатформних кейлогерів і нових методів доставки шкідливого програмного забезпечення.
Остання активність включає використання стратегії соціальної інженерії під назвою ClickFix, яка доставляє шкідливе ПЗ, таке як GolangGhost і PylangGhost. Ця підкампанія, ClickFake Interview, продовжує націлюватися на розробників з налаштованими навантаженнями для глибшого нагляду, коли це необхідно.
Попередні статті: