В репозитории был обнаружен набор поддельных пакетов npm Node.js было обнаружено, что они связаны с северокорейскими государственными структурами, показывают новые результаты исследования Phylum.
Пакеты называются "Время выполнения-асинхронно", "Данные-время использования", "Время входа-использование", "mongodb-использование подключения" и "mongodb-использование выполнения".
Один из рассматриваемых пакетов, execution-time-async, маскируется под свой законный аналог execution-time, библиотеку с более чем 27 000 загрузок в неделю. Время выполнения - это утилита Node.js, используемая для измерения времени выполнения кода.
"На самом деле устанавливается несколько вредоносных скриптов, включая криптовалюту и средство кражи учетных данных", - сказал Филум, описывая кампанию как атаку на цепочку поставок программного обеспечения, нацеленную на разработчиков. Пакет был загружен 302 раза с 4 февраля 2024 года, прежде чем был удален.
Интересно, что злоумышленники попытались скрыть запутанный вредоносный код в тестовом файле, который предназначен для получения полезных данных следующего этапа с удаленного сервера, кражи учетных данных из веб-браузеров, таких как Brave, Google Chrome и Opera, и извлечения скрипта Python, который, в свою очередь, загружает другие скрипты -
В репозитории присутствовали скрипты Python, ссылающиеся на те же IP-адреса (162.218.114 [.]83 – впоследствии изменен на 45.61.169 [.] 99), которые использовались для извлечения вышеупомянутых скриптов Python.
Есть подозрение, что атака находится в стадии разработки, поскольку по меньшей мере еще четыре пакета с идентичными функциями попали в репозиторий пакетов npm, получив в общей сложности 325 загрузок -
Хотя разветвление репозитория само по себе не является чем-то необычным, необычным аспектом некоторых из этих разветвленных репозиториев было то, что они были переименованы в "auth-demo" или "auth-challenge", что повышает вероятность того, что исходный репозиторий мог быть предоставлен в рамках тестирования кода для собеседования при приеме на работу.
Позже репозиторий был перемещен в banus-finance-org / auth-sandbox, Dexbanus-org / live-coding-sandbox и mave-finance / next-assessment, что указывает на попытки активного обхода блокировок GitHub. Все эти учетные записи были удалены.
Более того, было обнаружено, что пакет следующей проверки содержит зависимость "json-mock-config-server", которая не указана в реестре npm, а обслуживается непосредственно из домена npm.mave[.]finance.
Стоит отметить, что Banus утверждает, что является децентрализованной бессрочной спотовой биржей, базирующейся в Гонконге, и компания даже объявила о возможности трудоустройства для старшего frontend-разработчика 21 февраля 2024 года. В настоящее время неясно, является ли это реальной вакансией или это сложная схема социальной инженерии.
Связи с северокорейскими участниками угрозы связаны с тем фактом, что запутанный JavaScript, встроенный в пакет npm, пересекается с другим вредоносным ПО на основе JavaScript, получившим название BeaverTail, которое распространяется с помощью аналогичного механизма. Кампания под кодовым названием "Заразное интервью" была проведена подразделением Palo Alto Networks 42 в ноябре 2023 года.
"Заразное интервью" немного отличается от "Operation Dream Job", которая связана с Lazarus Group, тем, что в основном фокусируется на атаках на разработчиков с помощью поддельных удостоверений личности на порталах вакансий фрилансеров, чтобы обманом заставить их установить поддельные пакеты npm, сказал Майкл Сикорски, вице-президент и технический директор подразделения 42 Palo Alto Networks, рассказал The Hacker News в то время.
Один из разработчиков, ставший жертвой кампании, с тех пор подтвердил Phylum, что репозиторий доступен под видом интервью с программистами в прямом эфире, хотя они сказали, что никогда не устанавливали его в своей системе.
"Как никогда важно, чтобы как отдельные разработчики, так и организации по разработке программного обеспечения сохраняли бдительность в отношении этих атак с использованием открытого исходного кода", - заявили в компании.
Пакеты называются "Время выполнения-асинхронно", "Данные-время использования", "Время входа-использование", "mongodb-использование подключения" и "mongodb-использование выполнения".
Один из рассматриваемых пакетов, execution-time-async, маскируется под свой законный аналог execution-time, библиотеку с более чем 27 000 загрузок в неделю. Время выполнения - это утилита Node.js, используемая для измерения времени выполнения кода.
"На самом деле устанавливается несколько вредоносных скриптов, включая криптовалюту и средство кражи учетных данных", - сказал Филум, описывая кампанию как атаку на цепочку поставок программного обеспечения, нацеленную на разработчиков. Пакет был загружен 302 раза с 4 февраля 2024 года, прежде чем был удален.
Интересно, что злоумышленники попытались скрыть запутанный вредоносный код в тестовом файле, который предназначен для получения полезных данных следующего этапа с удаленного сервера, кражи учетных данных из веб-браузеров, таких как Brave, Google Chrome и Opera, и извлечения скрипта Python, который, в свою очередь, загружает другие скрипты -
- ~/.n2/pay, который может запускать произвольные команды, загружать и запускать ~/.n2/bow и ~/.n2 /adc, завершать работу Brave и Google Chrome и даже удалять сам себя
- ~/.n2 /bow, который является средством для кражи паролей браузера на основе Python
- ~/.n2 / adc, который устанавливает AnyDesk в Windows
В репозитории присутствовали скрипты Python, ссылающиеся на те же IP-адреса (162.218.114 [.]83 – впоследствии изменен на 45.61.169 [.] 99), которые использовались для извлечения вышеупомянутых скриптов Python.
Есть подозрение, что атака находится в стадии разработки, поскольку по меньшей мере еще четыре пакета с идентичными функциями попали в репозиторий пакетов npm, получив в общей сложности 325 загрузок -
- data-time-utils - 52 загрузки с 15 февраля
- время входа в систему-utils - 171 загрузка с 15 февраля
- mongodb-подключение-утилиты - 51 загрузка с 19 февраля
- mongodb-execution-utils - с 19 февраля загружено 51
Обнаруживаются связи с северокорейскими субъектами
Компания Phylum, которая также проанализировала две учетные записи GitHub, за которыми следит binaryExDev, обнаружила еще один репозиторий, известный как mave-finance-org / auth-playground, который не менее десятка раз разветвлялся другими учетными записями.
Хотя разветвление репозитория само по себе не является чем-то необычным, необычным аспектом некоторых из этих разветвленных репозиториев было то, что они были переименованы в "auth-demo" или "auth-challenge", что повышает вероятность того, что исходный репозиторий мог быть предоставлен в рамках тестирования кода для собеседования при приеме на работу.
Позже репозиторий был перемещен в banus-finance-org / auth-sandbox, Dexbanus-org / live-coding-sandbox и mave-finance / next-assessment, что указывает на попытки активного обхода блокировок GitHub. Все эти учетные записи были удалены.
Более того, было обнаружено, что пакет следующей проверки содержит зависимость "json-mock-config-server", которая не указана в реестре npm, а обслуживается непосредственно из домена npm.mave[.]finance.
Стоит отметить, что Banus утверждает, что является децентрализованной бессрочной спотовой биржей, базирующейся в Гонконге, и компания даже объявила о возможности трудоустройства для старшего frontend-разработчика 21 февраля 2024 года. В настоящее время неясно, является ли это реальной вакансией или это сложная схема социальной инженерии.
Связи с северокорейскими участниками угрозы связаны с тем фактом, что запутанный JavaScript, встроенный в пакет npm, пересекается с другим вредоносным ПО на основе JavaScript, получившим название BeaverTail, которое распространяется с помощью аналогичного механизма. Кампания под кодовым названием "Заразное интервью" была проведена подразделением Palo Alto Networks 42 в ноябре 2023 года.
"Заразное интервью" немного отличается от "Operation Dream Job", которая связана с Lazarus Group, тем, что в основном фокусируется на атаках на разработчиков с помощью поддельных удостоверений личности на порталах вакансий фрилансеров, чтобы обманом заставить их установить поддельные пакеты npm, сказал Майкл Сикорски, вице-президент и технический директор подразделения 42 Palo Alto Networks, рассказал The Hacker News в то время.
Один из разработчиков, ставший жертвой кампании, с тех пор подтвердил Phylum, что репозиторий доступен под видом интервью с программистами в прямом эфире, хотя они сказали, что никогда не устанавливали его в своей системе.
"Как никогда важно, чтобы как отдельные разработчики, так и организации по разработке программного обеспечения сохраняли бдительность в отношении этих атак с использованием открытого исходного кода", - заявили в компании.
