Trang chủTin tức* Các nhà nghiên cứu phát hiện 35 gói npm độc hại mới liên quan đến các tác nhân đe dọa từ Triều Tiên.
Các gói đã được tải xuống hơn 4.000 lần và được đăng tải từ 24 tài khoản npm.
Chiến dịch sử dụng mã hóa Malware loaders để giao thông tin đánh cắp và công cụ truy cập từ xa.
Kẻ tấn công giả vờ là nhà tuyển dụng và nhắm vào các nhà phát triển với các nhiệm vụ công việc giả trên các trang như LinkedIn.
Mục đích của hoạt động là ăn cắp tiền điện tử và dữ liệu nhạy cảm từ các hệ thống phát triển bị xâm phạm.
Các chuyên gia an ninh mạng đã xác định được 35 gói npm độc hại mới liên quan đến chiến dịch tấn công mạng "Cuộc phỏng vấn lây lan" đang diễn ra, được cho là do các nhóm được nhà nước tài trợ từ Bắc Triều Tiên thực hiện. Đợt phần mềm độc hại mới này xuất hiện trên nền tảng gói mã nguồn mở npm và nhắm vào các nhà phát triển và người tìm việc.
Quảng cáo - Theo Socket, các gói này đã được tải lên từ 24 tài khoản npm khác nhau và đã nhận được hơn 4,000 lượt tải xuống. Sáu trong số các gói này, bao gồm "react-plaid-sdk", "sumsub-node-websdk" và "router-parse", vẫn có sẵn công khai tại thời điểm phát hiện.
Mỗi gói chứa một công cụ gọi là HexEval, là một trình tải được mã hóa hex thu thập thông tin về máy tính host sau khi cài đặt. HexEval một cách chọn lọc triển khai một chương trình độc hại khác có tên BeaverTail, có thể tải về và chạy một backdoor dựa trên Python gọi là InvisibleFerret. Chuỗi này cho phép các Hacker đánh cắp dữ liệu nhạy cảm và điều khiển từ xa hệ thống bị nhiễm. “Cấu trúc như búp bê Nga này giúp chiến dịch tránh được các trình quét tĩnh cơ bản và các đánh giá thủ công,” nhà nghiên cứu Socket Kirill Boychenko cho biết.
Chiến dịch thường bắt đầu khi các tác nhân đe dọa đóng giả là nhà tuyển dụng trên các nền tảng như LinkedIn. Họ liên hệ với các kỹ sư phần mềm và gửi các nhiệm vụ giả mạo thông qua các liên kết đến các dự án được lưu trữ trên GitHub hoặc Bitbucket, nơi các gói npm này được nhúng. Sau đó, nạn nhân được thuyết phục tải xuống và chạy các dự án này, đôi khi bên ngoài môi trường an toàn.
Chiến dịch Phỏng vấn Lây lan, lần đầu tiên được nhóm Unit 42 của Palo Alto Networks chi tiết vào cuối năm 2023, nhằm tìm kiếm quyền truy cập trái phép vào máy của các nhà phát triển chủ yếu để trộm cắp tiền điện tử và dữ liệu. Chiến dịch này cũng được biết đến với các tên gọi như CL-STA-0240, DeceptiveDevelopment, và Gwisin Gang.
Socket báo cáo rằng các chiến thuật tấn công hiện tại kết hợp các gói mã nguồn mở chứa phần mềm độc hại, kỹ thuật xã hội được điều chỉnh và các cơ chế phân phối đa lớp để vượt qua các hệ thống bảo mật. Chiến dịch này cho thấy sự tinh chỉnh liên tục, với việc bổ sung các keylogger đa nền tảng và các kỹ thuật phân phối phần mềm độc hại mới.
Hoạt động gần đây bao gồm việc sử dụng một chiến lược kỹ thuật xã hội gọi là ClickFix, cung cấp phần mềm độc hại như GolangGhost và PylangGhost. Chiến dịch phụ này, ClickFake Interview, tiếp tục nhắm mục tiêu vào các nhà phát triển với các tải trọng tùy chỉnh để giám sát sâu hơn khi cần thiết.
Quảng cáo - Thêm chi tiết và danh sách đầy đủ các gói npm bị ảnh hưởng có thể được tìm thấy qua tuyên bố công khai của Socket.
Các Bài Viết Trước:
Ví Argent Đổi Thương Hiệu Thành Ready với Chiến Lược Sản Phẩm Đôi
YESminer Ra Mắt Nền Tảng Crypto Sử Dụng AI Với Các Phần Thưởng Miễn Phí
Ngân hàng Hàn Quốc muốn các ngân hàng dẫn đầu việc phát hành stablecoin, chú ý đến sự an toàn
Bernie Sanders Cảnh báo AI, Robot đe dọa việc làm; Kêu gọi bảo vệ mới
Phiên điều trần của Thượng viện về cấu trúc thị trường tiền điện tử chỉ thu hút năm thành viên
Quảng cáo -
Xem bản gốc
Nội dung chỉ mang tính chất tham khảo, không phải là lời chào mời hay đề nghị. Không cung cấp tư vấn về đầu tư, thuế hoặc pháp lý. Xem Tuyên bố miễn trừ trách nhiệm để biết thêm thông tin về rủi ro.
Malware Npm của Triều Tiên nhắm tới các nhà phát triển trong các cuộc phỏng vấn việc làm giả
Trang chủTin tức* Các nhà nghiên cứu phát hiện 35 gói npm độc hại mới liên quan đến các tác nhân đe dọa từ Triều Tiên.
Mỗi gói chứa một công cụ gọi là HexEval, là một trình tải được mã hóa hex thu thập thông tin về máy tính host sau khi cài đặt. HexEval một cách chọn lọc triển khai một chương trình độc hại khác có tên BeaverTail, có thể tải về và chạy một backdoor dựa trên Python gọi là InvisibleFerret. Chuỗi này cho phép các Hacker đánh cắp dữ liệu nhạy cảm và điều khiển từ xa hệ thống bị nhiễm. “Cấu trúc như búp bê Nga này giúp chiến dịch tránh được các trình quét tĩnh cơ bản và các đánh giá thủ công,” nhà nghiên cứu Socket Kirill Boychenko cho biết.
Chiến dịch thường bắt đầu khi các tác nhân đe dọa đóng giả là nhà tuyển dụng trên các nền tảng như LinkedIn. Họ liên hệ với các kỹ sư phần mềm và gửi các nhiệm vụ giả mạo thông qua các liên kết đến các dự án được lưu trữ trên GitHub hoặc Bitbucket, nơi các gói npm này được nhúng. Sau đó, nạn nhân được thuyết phục tải xuống và chạy các dự án này, đôi khi bên ngoài môi trường an toàn.
Chiến dịch Phỏng vấn Lây lan, lần đầu tiên được nhóm Unit 42 của Palo Alto Networks chi tiết vào cuối năm 2023, nhằm tìm kiếm quyền truy cập trái phép vào máy của các nhà phát triển chủ yếu để trộm cắp tiền điện tử và dữ liệu. Chiến dịch này cũng được biết đến với các tên gọi như CL-STA-0240, DeceptiveDevelopment, và Gwisin Gang.
Socket báo cáo rằng các chiến thuật tấn công hiện tại kết hợp các gói mã nguồn mở chứa phần mềm độc hại, kỹ thuật xã hội được điều chỉnh và các cơ chế phân phối đa lớp để vượt qua các hệ thống bảo mật. Chiến dịch này cho thấy sự tinh chỉnh liên tục, với việc bổ sung các keylogger đa nền tảng và các kỹ thuật phân phối phần mềm độc hại mới.
Hoạt động gần đây bao gồm việc sử dụng một chiến lược kỹ thuật xã hội gọi là ClickFix, cung cấp phần mềm độc hại như GolangGhost và PylangGhost. Chiến dịch phụ này, ClickFake Interview, tiếp tục nhắm mục tiêu vào các nhà phát triển với các tải trọng tùy chỉnh để giám sát sâu hơn khi cần thiết.
Các Bài Viết Trước: