Los investigadores de ciberseguridad han descubierto un nuevo lote de paquetes de NPM maliciosos vinculados a la operación de entrevista contagiosa en curso que se origina en Corea del Norte.
Según Socket, el ataque de la cadena de suministro en curso involucra 35 paquetes maliciosos que se cargaron desde cuentas de 24 npm. Estos paquetes se han descargado colectivamente más de 4,000 veces. La lista completa de las bibliotecas JavaScript está a continuación –
- react-plaid-sdk
- sumsub-nodo-websdk
- vite-plugin-next-fresh
- vite-plugin-purify
- nextjs-insight
- conocimientos
- reguladores de nodo
- React-logs
- reactbootstraps
- fran-motion-ext
- serverlog-disspatch
- mongo
- Next-log-patcher
- vite-plugin-tools
- porcentaje de píxel
- Prueba-topdev-logger-v1
- Prueba-topdev-logger-v3
- motor de registro de servidor
- logbin-nodejs
- VITE-Loader-SVG
- struct-legger
- registradores flexibles
- hermosos plugins
- config de tiza
- Jsonpacks
- jononspecífico
- Jessecs
- quemaduras
- blur-plugins
- vigilante
- nodo
- config.
- uso de videos
- nodo lucide, y
- par de enrutador
De estos, seis continúan disponibles para descargar desde NPM: React-Plaid-SDK, Sumsub-Node-WebsDK, Vite-Plugin-Next-Refresh, Vite-Loader-SVG, Node-Gon-Mongoose y Router-Parse.
Cada uno de los paquetes de NPM identificados contiene un cargador codificado hexadecimal denominado HexeVal, que está diseñado para recopilar información de información del host y entregar selectivamente una carga útil de seguimiento responsable de entregar un conocido robador de JavaScript llamado BeaVertail.
Beaverail, a su vez, está configurado para descargar y ejecutar una puerta trasera de Python llamada InvisibleFerret, permitiendo a los actores de amenaza recopilar datos confidenciales y establecer el control remoto de los hosts infectados.
«Esta estructura de muñeca de anidación ayuda a la campaña a evadir escáneres estáticos básicos y revisiones manuales», dijo el investigador de Socket Kirill Boychenko. «Un alias de NPM también envió un paquete de keylogger multiplataforma que captura cada pulsación de teclas, mostrando la preparación de los actores de amenaza para adaptar cargas útiles para una vigilancia más profunda cuando el objetivo lo garantiza».
La entrevista contagiosa, primero documentada públicamente por Palo Alto Networks Unit 42 a fines de 2023, es una campaña en curso realizada por actores de amenaza patrocinados por el estado de Corea del Norte para obtener acceso no autorizado a los sistemas de desarrolladores con el objetivo de llevar a cabo la criptomoneda y el robo de datos.
El clúster también se rastrea ampliamente bajo los apodos CL-STA-0240, el desarrollo de la desarrollación, Dev#Popper, Chollima famosa, Gwisin Gang, Tenacious Pungsan, UNC5342 y Void Dokkeebi.
También se han observado iteraciones recientes de la campaña aprovechando la táctica de ingeniería social ClickFix para entregar malware como Golangghost y Pylangghost. Este subgrupo de actividad ha sido designado el nombre de la entrevista de ClickFake.
Los últimos hallazgos de Socket apuntan a un enfoque múltiple donde los actores de amenaza de Pyongyang están adoptando varios métodos para engañar a los posibles objetivos para instalar malware con el pretexto de una entrevista o una reunión de zoom.
La rama de la NPM de la entrevista contagiosa generalmente involucra a los atacantes que se hacen pasar por reclutadores en LinkedIn, enviando a los solicitantes de empleo y a los desarrolladores de tareas de codificación al compartir un enlace a un proyecto malicioso alojado en Github o Bitbucket que incorpora los paquetes de NPM dentro de ellos.
«Se dirigen a los ingenieros de software que buscan trabajo activamente, explotando la confianza que los solicitantes de empleo generalmente colocan en los reclutadores», dijo Boychenko. «Personas falsas inician el contacto, a menudo con mensajes de divulgación con guiones y descripciones de trabajo convincentes».
Las víctimas se convierten en clonación y ejecutando estos proyectos fuera de los entornos contenedores durante el supuesto proceso de entrevista.
«Esta campaña maliciosa destaca una tradición en evolución en los ataques de la cadena de suministro de Corea del Norte, uno que combina la puesta en escena de malware, la orientación impulsada por OSINT y la ingeniería social para comprometer a los desarrolladores a través de ecosistemas confiables», dijo Socket.
«Al incorporar cargadores de malware como HexeVal en paquetes de código abierto y entregarlos a través de tareas de trabajo falsas, los actores de amenaza evitan las defensas perímetro y obtienen ejecución en los sistemas de desarrolladores específicos.
