HackerNews 编译,转载请注明出处:
网络安全研究人员发现了一批新的恶意 npm 软件包,这些软件包与朝鲜发起的持续性攻击活动“Contagious Interview”(传染性面试)有关。
安全公司 Socket 表示,此次供应链攻击涉及 24 个 npm 账户上传的 35 个恶意软件包。这些软件包已被累计下载超过 4000 次。
其中,有六个软件包目前仍可从 npm 下载:react-plaid-sdk、sumsub-node-websdk、vite-plugin-next-refresh、vite-loader-svg、node-orm-mongoose 和 router-parse。
每个已识别的 npm 软件包都包含一个名为 HexEval 的十六进制编码加载器。该加载器设计用于在安装后收集主机信息,并有选择地投递后续有效载荷,该载荷负责投递一个已知的 JavaScript 窃密程序 BeaverTail。
BeaverTail 则被配置为下载并执行一个名为 InvisibleFerret 的 Python 后门,从而使威胁行为者能够收集敏感数据并对受感染主机建立远程控制。
“这种嵌套结构有助于该活动逃避基本的静态扫描和人工审核,” Socket 研究员 Kirill Boychenko 说道,“其中一个 npm 别名还附带了一个跨平台键盘记录器软件包,可以捕获每个按键操作,这表明威胁行为者随时准备在目标需要时定制有效载荷以进行更深入的监视。”
“传染性面试”(Contagious Interview)是由 Palo Alto Networks Unit 42 于 2023 年底首次公开记录的,是由朝鲜政府支持的威胁行为者发起的一项持续性攻击活动,旨在未经授权访问开发者系统,窃取加密货币和数据。
该攻击群还被广泛追踪,其绰号包括 CL-STA-0240、DeceptiveDevelopment、DEV#POPPER、Famous Chollima(著名千里马)、Gwisin Gang(鬼怪帮)、Tenacious Pungsan(坚韧的普山)、UNC5342 和 Void Dokkaebi(虚空德基)。
该攻击群的近期迭代还被发现利用 ClickFix 社会工程学策略来传播 GolangGhost 和 PylangGhost 等恶意软件。该活动子集群被命名为 ClickFake Interview。
Socket 的最新发现表明,平壤的威胁行为者正在采取多管齐下的策略,利用各种方法诱骗潜在目标以采访或 Zoom 会议为借口安装恶意软件。
“传染性面试”的 npm 分支通常涉及攻击者冒充 LinkedIn 上的招聘人员,通过分享托管在 GitHub 或 Bitbucket 上的恶意项目链接(该项目嵌入了 npm 软件包)来向求职者和开发者发送编码任务。
“他们瞄准正在积极求职的软件工程师,利用求职者通常对招聘人员的信任,” Boychenko 说道,“虚假身份会主动联系,通常会使用事先准备好的推广信息和令人信服的职位描述。”
然后,在所谓的面试过程中,受害者会被诱导在容器化环境之外克隆并运行这些项目。
“此次恶意活动凸显了朝鲜供应链攻击中不断演变的伎俩,它融合了恶意软件预演、开源情报 (OSINT) 驱动的攻击和社会工程学,旨在通过可信生态系统入侵开发者。” Socket 说道。
通过在开源软件包中嵌入 HexEval 等恶意软件加载器,并通过虚假的作业分配进行传播,威胁行为者得以绕过外围防御,并在目标开发人员的系统上执行攻击。
该攻击活动的多阶段结构、极小的注册表占用空间以及规避容器化环境的尝试表明,资源充足的对手正在实时改进其入侵方法。
消息来源: thehackernews;
本文由 HackerNews.cc 翻译整理,封面来源于网络;
转载请注明“转自 HackerNews.cc”并附上原文
