网络安全研究人员发现了一种已知窃取恶意软件的更新变体，该恶意软件是隶属于朝鲜民主主义人民共和国 （DPRK） 的攻击者在之前针对求职者的网络间谍活动中提供的。

安全研究员帕特里克·沃德尔（Patrick Wardle）说，有问题的工件是一个名为“MiroTalk.dmg”的Apple macOS磁盘映像（DMG）文件，它模仿了同名的合法视频通话服务，但实际上，它是提供BeaverTail本机版本的渠道。

BeaverTail 指的是一种 JavaScript 窃取恶意软件，该恶意软件于 2023 年 11 月由 Palo Alto Networks Unit 42 首次记录，作为一项名为 Contagious Interview 的活动的一部分，该活动旨在通过假定的工作面试过程用恶意软件感染软件开发人员。Securonix 正在以 DEV#POPPER 的绰号跟踪相同的活动。

除了从网络浏览器和加密钱包中窃取敏感信息外，该恶意软件还能够提供额外的有效载荷，例如 InvisibleFerret，这是一个 Python 后门，负责下载 AnyDesk 以进行持久的远程访问。虽然 BeaverTail 是通过 GitHub 和 npm 包注册表上托管的虚假 npm 包分发的，但最新的发现标志着分发向量的转变。

“如果我不得不猜测，朝鲜黑客可能通过下载并执行mirotalk上托管的MiroTalk（受感染版本）来接近他们的潜在受害者，要求他们参加招聘会议。净，“沃德尔说。

对未签名的 DMG 文件的分析表明，它有助于从 Google Chrome、Brave 和 Opera、加密货币钱包和 iCloud 钥匙串等网络浏览器窃取数据。此外，它旨在从远程服务器（即 InvisibleFerret）下载和执行其他 Python 脚本。

“朝鲜黑客是一群狡猾的人，非常擅长黑客攻击macOS目标，尽管他们的技术通常依赖于社会工程学（因此从技术角度来看相当不起眼），”沃德尔说。

Phylum 发现了一个名为 call-blockflow 的新恶意 npm 包，该包与合法的调用绑定几乎相同，但包含下载远程二进制文件的复杂功能，同时努力在雷达下飞行。

“在这次攻击中，虽然调用绑定包没有受到损害，但武器化的调用块流包复制了原始包的所有信任和合法性，以支持攻击的成功，”它在一份声明中说。

该软件包被怀疑是与朝鲜有联系的Lazarus集团的作品，在上传到npm后大约一个半小时后未发布，总共吸引了18次下载。有证据表明，自 2023 年 9 月以来，该活动由三十多个恶意软件包组成，一直在一波又一波地进行。

“这些软件包一旦安装，就会下载一个远程文件，解密它，从中执行导出的功能，然后通过删除和重命名文件来精心掩盖它们的踪迹，”这家软件供应链安全公司表示。“这使得包目录在安装后处于看似良性的状态。”

它还遵循 JPCERT/CC 的公告，警告朝鲜 Kimsuky 演员针对日本组织策划的网络攻击。

感染过程从冒充安全和外交组织的网络钓鱼邮件开始，并包含恶意可执行文件，打开该可执行文件后会导致下载 Visual Basic 脚本 （VBS），而 Visual Basic 脚本 （VBS） 又会检索 PowerShell 脚本以收集用户帐户、系统和网络信息以及枚举文件和进程。

然后，收集的信息将泄露到命令和控制 （C2） 服务器，该服务器会使用第二个 VBS 文件进行响应，然后执行该文件以提取并运行名为 InfoKey 的基于 PowerShell 的键盘记录器。

“虽然很少有关于Kimsuky针对日本组织的攻击活动的报道，但日本也有可能成为积极的目标，”JPCERT / CC说。