朝鮮Npm惡意軟件在虛假招聘中針對開發者

首頁新聞* 研究人員發現與朝鮮威脅行爲者相關的35個新惡意npm包。

• 這些包被下載了超過 4,000 次，並從 24 個 npm 帳戶發布。
• 該活動使用編碼的惡意軟件加載器來傳送信息竊取器和遠程訪問工具。
• 攻擊者僞裝成招聘人員，利用 LinkedIn 等網站上的假工作任務針對開發人員。
• 此操作旨在從被攻擊的開發者系統中竊取加密貨幣和敏感數據。 網路安全專家已識別出35個與正在進行的“傳染性面試”網路攻擊活動相關的有害npm包，該活動被歸因於來自北韓的國家支持團體。這波新的惡意軟件出現在npm開源軟件包平台上，目標是開發者和求職者。

• 廣告 - 根據 Socket 的說法，這些軟件包來自 24 個不同的 npm 帳戶，並且已經獲得超過 4,000 次下載。在被發現時，其中六個軟件包，包括 “react-plaid-sdk”，“sumsub-node-websdk”和 “router-parse”，仍然公開可用。

每個包裹包含一個名爲HexEval的工具，這是一個十六進制編碼的加載程序，在安裝後收集有關主機計算機的信息。HexEval選擇性地部署另一個名爲BeaverTail的惡意程序，該程序可以下載並運行一個基於Python的後門，名爲InvisibleFerret。這個序列使黑客能夠竊取敏感數據並遠程控制被感染的系統。“這種套娃結構幫助該活動躲避基本的靜態掃描器和手動審查，” Socket研究員Kirill Boychenko表示。

該活動通常始於威脅行爲者在 LinkedIn 等平台上冒充招聘人員。他們聯繫軟件工程師並通過連結發送虛假的工作任務，這些連結指向托管在 GitHub 或 Bitbucket 上的項目，這些項目中嵌入了這些 npm 包。受害者隨後被說服下載並運行這些項目，有時是在不安全的環境中。

“傳染性訪談”行動首次由Palo Alto Networks Unit 42在2023年底詳細介紹，旨在未經授權訪問開發者機器，主要用於加密貨幣和數據盜竊。該行動也被稱爲CL-STA-0240、DeceptiveDevelopment和Gwisin Gang。

Socket報告稱，當前攻擊者戰術結合了帶有惡意軟件的開源包、量身定制的社會工程學和分層交付機制，以繞過安全系統。該活動顯示出持續的改進，增加了跨平台的鍵盤記錄器和新的惡意軟件交付技術。

最近的活動包括使用一種名爲 ClickFix 的社會工程策略，該策略投放惡意軟件，如 GolangGhost 和 PylangGhost。這個子活動 ClickFake Interview 繼續針對開發者，必要時提供定制的有效載荷以進行更深入的監控。

• 廣告 - 更多詳細信息和受影響的npm包完整列表可以通過Socket的公開聲明找到。

之前的文章:

• Argent Wallet 更名爲 Ready，採用雙重產品戰略
• YESminer推出基於人工智能的加密平台，贈送免費獎金
• 韓國銀行希望銀行主導穩定幣發行，關注安全性
• 伯尼·桑德斯警告人工智能和機器人威脅就業；呼籲新的保護措施
• 參議院關於加密市場結構的聽證會僅吸引了五名成員

• 廣告 -