Χάκερς που σχετίζονται με τη Βόρεια Κορέα έχουν δημοσιεύσει μια σειρά κακόβουλων πακέτων στο μητρώο npm, στοχεύοντας προγραμματιστές με κακόβουλο λογισμικό, με σκοπό να κλέψουν περιουσιακά στοιχεία.
Το τελευταίο κύμα επιθέσεων, που παρατηρήθηκε μεταξύ 12 και 27 Αυγούστου 2024, περιλάμβανε πακέτα με ονόματα όπως temp-etherscan-api, etherscan-api, telegram-con, helmet-validate και qq-console. «Οι συμπεριφορές που παρατηρήθηκαν σε αυτή την εκστρατεία μας οδηγούν στο συμπέρασμα ότι η κονσόλα qq συνδέεται με την εκστρατεία της Βόρειας Κορέας, γνωστή ως “Contagious Interview”», δήλωσε η εταιρεία ασφάλειας λογισμικού Phylum.
Δείτε περισσότερα: Χάκερς εκμεταλλεύονται zero-day ευπάθεια για να στοχεύσουν παρόχους υπηρεσιών διαδικτύου στις ΗΠΑ
Η “Contagious Interview” αναφέρεται σε μια συνεχιζόμενη εκστρατεία που στοχεύει να συμβιβάσει προγραμματιστές λογισμικού με κακόβουλο λογισμικό κλοπής πληροφοριών, μέσω μιας υποτιθέμενης διαδικασίας συνέντευξης για εργασία. Αυτή η μέθοδος περιλαμβάνει την παραπλάνηση των χρηστών να κατεβάσουν ψεύτικα πακέτα npm ή πλαστές εγκαταστάσεις λογισμικού τηλεδιάσκεψης, όπως το MiroTalk, οι οποίες φιλοξενούνται σε ιστοσελίδες παραπλανήσεων.
Ο τελικός στόχος αυτών των επιθέσεων είναι να αναπτύξουν ένα κακόβουλο φορτίο Python, ονόματι InvisibleFerret, το οποίο μπορεί να αποσπάσει ευαίσθητα δεδομένα από επεκτάσεις προγράμματος περιήγησης πορτοφολιού κρυπτονομισμάτων και να εγκαταστήσει μόνιμη πρόσβαση στον κεντρικό υπολογιστή, χρησιμοποιώντας νόμιμο λογισμικό απομακρυσμένης επιφάνειας εργασίας όπως το AnyDesk. Το CrowdStrike παρακολουθεί αυτές τις δραστηριότητες με την ονομασία Famous Chollima.
Το πρόσφατα εντοπισμένο πακέτο helmet-validate υιοθετεί μια νέα προσέγγιση, καθώς περιλαμβάνει ένα κομμάτι JavaScript κώδικα, γνωστό ως config.js, που εκτελεί απευθείας JavaScript φιλοξενούμενο σε ένα απομακρυσμένο domain (“ipcheck[.]cloud”) μέσω της συνάρτησης eval().
Η έρευνά μας αποκάλυψε ότι το ipcheck[.]cloud επιλύει στην ίδια διεύθυνση IP (167[.]88[.]36[.]13) στην οποία επιλύθηκε το mirotalk[.]net όταν ήταν online, ανέφερε ο Phylum, επισημαίνοντας τους πιθανούς δεσμούς μεταξύ των δύο σειρών επιθέσεων.
Η εταιρεία σημείωσε επίσης την ύπαρξη ενός άλλου πακέτου, ονόματι sass-notification, το οποίο ανέβηκε στις 27 Αυγούστου 2024 και παρουσίαζε κοινές ομοιότητες με βιβλιοθήκες npm που είχαν αποκαλυφθεί προηγουμένως, όπως η ροή κλήσεων. Αυτά τα πακέτα σχετίζονται με μια άλλη βορειοκορεατική ομάδα απειλών, γνωστή ως Moonstone Sleet.
«Αυτές οι επιθέσεις διακρίνονται από τη χρήση σκοτεινής JavaScript για τη σύνταξη και εκτέλεση σεναρίων δέσμης και PowerShell», ανέφερε. «Τα σενάρια κατεβάζουν και αποκρυπτογραφούν ένα απομακρυσμένο ωφέλιμο φορτίο, το εκτελούν ως DLL και στη συνέχεια επιχειρούν να διαγράψουν όλα τα ίχνη κακόβουλης δραστηριότητας, αφήνοντας πίσω τους ένα φαινομενικά καλοήθες πακέτο στον υπολογιστή του θύματος».
Διαβάστε ακόμη: Ευπάθεια του Apache επιτρέπει σε χάκερς να κλέβουν ευαίσθητα δεδομένα από συστήματα Unix
Η συμμορία Chollima παριστάνει τους εργαζόμενους πληροφορικής σε εταιρείες των ΗΠΑ.
Η αποκάλυψη αυτή έρχεται καθώς η CrowdStrike συνδέει τη συμμορία Chollima (πρώην BadClone) με εσωτερικές επιχειρήσεις απειλών που περιλαμβάνουν διείσδυση σε εταιρικά περιβάλλοντα υπό το πρόσχημα της νόμιμης απασχόλησης.
«Η γνωστή Chollima πραγματοποίησε αυτές τις επιχειρήσεις αποκτώντας συμβάσεις ή ισοδύναμες θέσεις πλήρους απασχόλησης, χρησιμοποιώντας πλαστά ή κλεμμένα έγγραφα ταυτότητας για να παρακάμψει τους ελέγχους ιστορικού», ανέφερε η εταιρεία. «Κατά την υποβολή αιτήσεων για εργασία, αυτοί οι κακόβουλοι άνθρωποι παρουσίασαν βιογραφικά που συνήθως απαριθμούσαν προηγούμενες θέσεις σε αναγνωρίσιμες εταιρείες, καθώς και σε λιγότερο γνωστές εταιρείες, χωρίς κενά στην απασχόληση».
Αν και οι επιθέσεις αυτές έχουν κυρίως οικονομικά κίνητρα, ένα υποσύνολο των περιστατικών φέρεται να αφορούσε τη διείσδυση ευαίσθητων πληροφοριών. Η CrowdStrike ανέφερε ότι εντόπισε απειλητικούς παράγοντες που στοχεύουν ή εργάζονται ενεργά σε πάνω από 100 μοναδικές εταιρείες το περασμένο έτος, οι περισσότερες εκ των οποίων βρίσκονται στις ΗΠΑ, τη Σαουδική Αραβία, τη Γαλλία, τις Φιλιππίνες και την Ουκρανία, μεταξύ άλλων.
Οι τομείς που στοχεύονται περιλαμβάνουν την τεχνολογία, τις χρηματοοικονομικές υπηρεσίες, τις επαγγελματικές υπηρεσίες, το λιανικό εμπόριο, τις μεταφορές, τη μεταποίηση, τα φαρμακευτικά προϊόντα, τα μέσα κοινωνικής δικτύωσης και τις εταιρείες μέσων ενημέρωσης.
«Αφού απέκτησαν πρόσβαση στα δίκτυα των θυμάτων σε επίπεδο εργαζομένων, οι επιτιθέμενοι εκτέλεσαν περιορισμένες εργασίες που σχετίζονταν με τον ρόλο τους», πρόσθεσε η εταιρεία. Σε ορισμένες περιπτώσεις, προσπάθησαν επίσης να εκμεταλλευτούν δεδομένα μέσω εργαλείων όπως το Git, το SharePoint και το OneDrive.
Δείτε επίσης: Χάκερς στοχεύουν Πολωνικές Επιχειρήσεις με το Agent Tesla και το Formbook Malware
«Επιπλέον, οι χάκερς εγκατέστησαν εργαλεία RMM, όπως RustDesk, AnyDesk, TinyPilot, VS Code Dev Tunnels και Google Chrome Remote Desktop. Στη συνέχεια, χρησιμοποίησαν αυτά τα εργαλεία σε συνδυασμό με τα διαπιστευτήρια του εταιρικού δικτύου, επιτρέποντας σε πολλές διευθύνσεις IP να συνδεθούν με το σύστημα του θύματος».
Πηγή: thehackernews
