ГлавнаяНовости* Исследователи обнаружили 35 новых вредоносных npm-пакетов, связанных с угрозой со стороны северокорейских акторов.
Пакеты были загружены более 4000 раз и размещены с 24 npm аккаунтов.
Кампания использует закодированные загрузчики вредоносных программ для доставки программ для кражи информации и инструментов удаленного доступа.
Злоумышленники выдают себя за рекрутеров и нацеливаются на разработчиков с поддельными заданиями на таких сайтах, как LinkedIn.
Операция направлена на кражу криптовалюты и конфиденциальных данных из скомпрометированных систем разработчиков.
Специалисты по кибербезопасности выявили 35 новых вредоносных npm-пакетов, связанных с текущей кибератакой "Заразительное интервью", которая приписывается поддерживаемым государством группам из Северной Кореи. Новая волна вредоносного ПО появилась на платформе npm для открытых пакетов и нацелена на разработчиков и соискателей.
Реклама - Согласно Socket, эти пакеты были загружены из 24 отдельных аккаунтов npm и получили более 4000 загрузок. Шесть из этих пакетов, включая "react-plaid-sdk", "sumsub-node-websdk" и "router-parse", оставались доступными для публики на момент обнаружения.
Каждый пакет содержит инструмент под названием HexEval, который является загрузчиком в шестнадцатеричном коде, собирающим информацию о компьютере-хозяине после установки. HexEval выборочно разворачивает другую вредоносную программу под названием BeaverTail, которая может загрузить и запустить бэкдор на основе Python под названием InvisibleFerret. Эта последовательность позволяет хакерам красть конфиденциальные данные и удаленно контролировать зараженную систему. “Эта структура в виде матрешки помогает кампании избегать основных статических сканеров и ручных проверок,” заявил исследователь Socket Кирилл Бойченко.
Кампания часто начинается, когда злоумышленники выдают себя за рекрутеров на платформах, таких как LinkedIn. Они связываются с разработчиками программного обеспечения и отправляют поддельные задания на работу через ссылки на проекты, размещенные на GitHub или Bitbucket, где встроены эти npm пакеты. Жертвам затем убеждают загрузить и запустить эти проекты, иногда вне безопасных сред.
Операция Contagious Interview, впервые описанная Palo Alto Networks Unit 42 в конце 2023 года, стремится получить несанкционированный доступ к машинам разработчиков, в первую очередь для кражи криптовалюты и данных. Кампания также известна под названиями CL-STA-0240, DeceptiveDevelopment и Gwisin Gang.
Socket сообщает, что текущие тактики атакующих сочетают в себе открытые пакеты с вредоносным ПО, адаптированный социальный инжиниринг и многоуровневые механизмы доставки для обхода систем безопасности. Кампания демонстрирует постоянное совершенствование с добавлением кросс-платформенных кейлоггеров и новых техник доставки вредоносного ПО.
Недавняя активность включает в себя использование стратегии социальной инженерии под названием ClickFix, которая доставляет вредоносные программы, такие как GolangGhost и PylangGhost. Эта подкампания ClickFake Interview по-прежнему нацелена на разработчиков с помощью настраиваемых полезных нагрузок для более глубокого наблюдения, когда это необходимо.
Реклама - Более подробную информацию и полный список затронутых пакетов npm можно найти в публичном заявлении Socket.
Предыдущие статьи:
Argent Wallet переименован в Ready с двойной стратегией продуктов
YESminer запускает платформу криптовалют с поддержкой ИИ и бесплатными бонусами
Банк Кореи хочет, чтобы банки возглавили эмиссию стейблкоинов, обращая внимание на безопасность
Берни Сандерс предостерегает, что ИИ и роботы угрожают рабочим местам; призывает к новым мерам защиты
Сенатские слушания по структуре криптовалютного рынка привлекли всего пять членов
Реклама -
Посмотреть Оригинал
This page may contain third-party content, which is provided for information purposes only (not representations/warranties) and should not be considered as an endorsement of its views by Gate, nor as financial or professional advice. See Disclaimer for details.
Малварь Npm из Северной Кореи нацелена на разработчиков в поддельных собеседованиях
ГлавнаяНовости* Исследователи обнаружили 35 новых вредоносных npm-пакетов, связанных с угрозой со стороны северокорейских акторов.
Каждый пакет содержит инструмент под названием HexEval, который является загрузчиком в шестнадцатеричном коде, собирающим информацию о компьютере-хозяине после установки. HexEval выборочно разворачивает другую вредоносную программу под названием BeaverTail, которая может загрузить и запустить бэкдор на основе Python под названием InvisibleFerret. Эта последовательность позволяет хакерам красть конфиденциальные данные и удаленно контролировать зараженную систему. “Эта структура в виде матрешки помогает кампании избегать основных статических сканеров и ручных проверок,” заявил исследователь Socket Кирилл Бойченко.
Кампания часто начинается, когда злоумышленники выдают себя за рекрутеров на платформах, таких как LinkedIn. Они связываются с разработчиками программного обеспечения и отправляют поддельные задания на работу через ссылки на проекты, размещенные на GitHub или Bitbucket, где встроены эти npm пакеты. Жертвам затем убеждают загрузить и запустить эти проекты, иногда вне безопасных сред.
Операция Contagious Interview, впервые описанная Palo Alto Networks Unit 42 в конце 2023 года, стремится получить несанкционированный доступ к машинам разработчиков, в первую очередь для кражи криптовалюты и данных. Кампания также известна под названиями CL-STA-0240, DeceptiveDevelopment и Gwisin Gang.
Socket сообщает, что текущие тактики атакующих сочетают в себе открытые пакеты с вредоносным ПО, адаптированный социальный инжиниринг и многоуровневые механизмы доставки для обхода систем безопасности. Кампания демонстрирует постоянное совершенствование с добавлением кросс-платформенных кейлоггеров и новых техник доставки вредоносного ПО.
Недавняя активность включает в себя использование стратегии социальной инженерии под названием ClickFix, которая доставляет вредоносные программы, такие как GolangGhost и PylangGhost. Эта подкампания ClickFake Interview по-прежнему нацелена на разработчиков с помощью настраиваемых полезных нагрузок для более глубокого наблюдения, когда это необходимо.
Предыдущие статьи: