HomeNews* Pesquisadores descobriram 35 novos pacotes npm maliciosos ligados a atores de ameaça da Coreia do Norte.
Os pacotes foram descarregados mais de 4.000 vezes e publicados a partir de 24 contas npm.
A campanha utiliza carregadores de Malware codificados para entregar roubadores de informações e ferramentas de acesso remoto.
Os atacantes se passam por recrutadores e atacam desenvolvedores com atribuições de trabalho falsas em sites como o LinkedIn.
A operação visa roubar criptomoedas e dados sensíveis de sistemas de desenvolvedores comprometidos.
Especialistas em cibersegurança identificaram 35 novos pacotes npm prejudiciais ligados à campanha de ciberataques em curso "Entrevista Contagiosa", que é atribuída a grupos patrocinados pelo estado da Coreia do Norte. A nova onda de software malicioso apareceu na plataforma de pacotes de código aberto npm e tem como alvo desenvolvedores e candidatos a empregos.
Anúncio - De acordo com Socket, esses pacotes foram carregados de 24 contas npm separadas e receberam mais de 4.000 downloads. Seis desses pacotes, incluindo “react-plaid-sdk,” “sumsub-node-websdk,” e “router-parse,” permaneceram disponíveis publicamente no momento da descoberta.
Cada pacote contém uma ferramenta chamada HexEval, que é um carregador codificado em hexadecimais que coleta informações sobre o computador hospedeiro após a instalação. O HexEval implanta seletivamente outro programa malicioso chamado BeaverTail, que pode baixar e executar um backdoor baseado em Python chamado InvisibleFerret. Esta sequência permite que os hackers roubem dados sensíveis e controlem remotamente o sistema infectado. "Esta estrutura em forma de boneca russa ajuda a campanha a evitar scanners estáticos básicos e revisões manuais," afirmou o pesquisador da Socket Kirill Boychenko.
A campanha frequentemente começa quando atores de ameaça se fazem passar por recrutadores em plataformas como o LinkedIn. Eles contactam engenheiros de software e enviam falsas propostas de emprego através de links para projetos hospedados no GitHub ou Bitbucket, onde esses pacotes npm estão incorporados. As vítimas são então convencidas a descarregar e executar esses projetos, às vezes fora de ambientes seguros.
A operação Contagious Interview, detalhada pela Palo Alto Networks Unit 42 no final de 2023, busca acesso não autorizado a máquinas de desenvolvedores principalmente para roubo de criptomoedas e dados. A campanha também é conhecida por nomes como CL-STA-0240, DeceptiveDevelopment e Gwisin Gang.
O Socket relata que as táticas atuais dos atacantes combinam pacotes de código aberto contaminados com malware, engenharia social personalizada e mecanismos de entrega em camadas para contornar os sistemas de segurança. A campanha mostra um aperfeiçoamento contínuo, com a adição de keyloggers multiplataforma e novas técnicas de entrega de malware.
A atividade recente inclui o uso de uma estratégia de engenharia social chamada ClickFix, que entrega malware como GolangGhost e PylangGhost. Esta subcampanha, ClickFake Interview, continua a visar desenvolvedores com cargas personalizadas para uma vigilância mais profunda quando necessário.
Anúncio - Mais detalhes e a lista completa dos pacotes npm afetados podem ser encontrados através da declaração pública da Socket.
Artigos Anteriores:
Argent Wallet muda de marca para Ready com uma estratégia de produto dupla
YESminer Lança Plataforma de Cripto com Inteligência Artificial e Bónus Gratuitos
O Banco da Coreia Quer que os Bancos Liderem a Emissão de Stablecoins, Foca na Segurança
Bernie Sanders Adverte que IA e Robôs Ameaçam Empregos; Urge Novas Proteções
Audiência do Senado sobre a Estrutura do Mercado de Cripto Atrai Apenas Cinco Membros
Anúncio -
Ver original
This page may contain third-party content, which is provided for information purposes only (not representations/warranties) and should not be considered as an endorsement of its views by Gate, nor as financial or professional advice. See Disclaimer for details.
Malware Npm da Coreia do Norte Alvo de Desenvolvedores em Falsas Entrevistas de Trabalho
HomeNews* Pesquisadores descobriram 35 novos pacotes npm maliciosos ligados a atores de ameaça da Coreia do Norte.
Cada pacote contém uma ferramenta chamada HexEval, que é um carregador codificado em hexadecimais que coleta informações sobre o computador hospedeiro após a instalação. O HexEval implanta seletivamente outro programa malicioso chamado BeaverTail, que pode baixar e executar um backdoor baseado em Python chamado InvisibleFerret. Esta sequência permite que os hackers roubem dados sensíveis e controlem remotamente o sistema infectado. "Esta estrutura em forma de boneca russa ajuda a campanha a evitar scanners estáticos básicos e revisões manuais," afirmou o pesquisador da Socket Kirill Boychenko.
A campanha frequentemente começa quando atores de ameaça se fazem passar por recrutadores em plataformas como o LinkedIn. Eles contactam engenheiros de software e enviam falsas propostas de emprego através de links para projetos hospedados no GitHub ou Bitbucket, onde esses pacotes npm estão incorporados. As vítimas são então convencidas a descarregar e executar esses projetos, às vezes fora de ambientes seguros.
A operação Contagious Interview, detalhada pela Palo Alto Networks Unit 42 no final de 2023, busca acesso não autorizado a máquinas de desenvolvedores principalmente para roubo de criptomoedas e dados. A campanha também é conhecida por nomes como CL-STA-0240, DeceptiveDevelopment e Gwisin Gang.
O Socket relata que as táticas atuais dos atacantes combinam pacotes de código aberto contaminados com malware, engenharia social personalizada e mecanismos de entrega em camadas para contornar os sistemas de segurança. A campanha mostra um aperfeiçoamento contínuo, com a adição de keyloggers multiplataforma e novas técnicas de entrega de malware.
A atividade recente inclui o uso de uma estratégia de engenharia social chamada ClickFix, que entrega malware como GolangGhost e PylangGhost. Esta subcampanha, ClickFake Interview, continua a visar desenvolvedores com cargas personalizadas para uma vigilância mais profunda quando necessário.
Artigos Anteriores: